Como todo suceso cíclico, el cometa SSL-ha-sido-roto-oh-dios-mío-vamos-a-morir vuelve a asomar la cabeza por los agregadores de noticias. Y, como en las n ocasiones anteriores, hay que coger con pinzas las afirmaciones que se leen por ahí.
La recomendación más razonable, por supuesto, es que sólo hagáis caso de las cosas que leáis en sitios con una reputación razonable. Digamos que, en la escala graduada desde los sitios serios (como Hispasec o SBD, por poner dos ejemplos castellanoparlantes) hasta los telediarios de la televisión (toda una oda a la inexactitud), hay toda una escala de grises que combina información con desinformación.
El problema es aquel chaval que, al escuchar campanas sin saber dónde, y con buena o mala intención, se aventura -blog en mano- a vaticinar el fin de la PKI. Vale que hay debilidades, pruebas de concepto, y aplicaciones muy específicas. Pero de ataques prácticos… poco o nada.
Así que nada, dormid tranquilos, no saquéis la pasta del banco para meterla debajo del colchón, y pensad que, en el peor de los casos, siempre nos quedará la artillería pesada.
Me parece muy bien que hayas echo un post sobre esto…ya que entre lo del SSL y el fin de milw0rm…Llevamos unos días…
Saludos Death
Je… otro problemilla en SSL. Al final vamos a tener que hacernoslo mirar xD
Aunque no afecte a la confidencialidad de la información, en este caso podría llegar a ser peligroso por posibilitar ataques tipo ‘blind HTTPS injection’ :S
Parece ser (leí el paper muy deprisa el otro día y no me paré en los detalles) que es posible pre-inyectar peticiones HTTPS en una sesión tras la renegociación cuando se usa autenticación del cliente. En dicho caso, si un atacante fuese capaz de obtener respuestas a partir de los datos cifrados (por ejemplo en base al tamaño de la respuesta determinar si su petición ha sido correcta o falsa), el asunto podría llegar a traer problemas… habrá que mirarselo en serio :)
En caso de que hayas tenido tiempo de mirar el paper (me consta que andas liado ;) ), algún comentario al respecto?
Un abrazo!
Como bien sabes, ahora mismo mi tiempo tiende a cero… y tengo la seguridad un poco abandonada.
No he podido leer el paper, sólo hojearlo a golpe de ruleta de ratón. Pero sí he leído ciertos comentarios en páginas de seguridad que dicen que, aún cuando es posible la inyección de texto en claro, no es tan peligrosa como podría ser un MITM.
No digo que el bug deba ignorarse, o que no tenga sus implicaciones de seguridad; simplemente reflexiono ante tantas voces que, a cada fallo anunciado, se cuelgan al cuello el cartel de “El fin está cerca”.
¡Un abrazo!