Abuse Melding

Je hebt een klacht over de onderstaande posting:

17-10-2014, 17:15 door Anoniem

[ En dat lijkt mij van niet. (tenminste als je direct vanaf het begin de verbinding hebt opgezet in https, en niet in http) Of heb ik ergens iets gemist? Mvg, cluc-cluc. Je hebt inderdaad iets gemist. Als je een https sessie opzet zal het Poodle lek ervoor zorgen dat, binnen de SSL/TLS specificaties, een verbinding wordt opgezet met SSL v3.0. Deze browser acteert gewoon volgens specs en zal dus een groene balk laten zien. De versleutelde verbinding wordt echter niet met TLS opgezet maar met SSL v3.0. En die was kraakbaar. Kortom: De aanval is best lastig want je moet er "tussen" zitten. Maar als het dan optreedt is de hele "downgrade" naar SSL v3.0 volgens de specs van SSL/TLS. Dus de browser heeft geen reden om een foutmelding oid te geven. Dus als je klikt op het slotje zie je ook gewoon het certificaat van de bank. De sessie is immers met dat certificaat opgezet. Alleen de encrypte pijp is opgezet met SSLv3.0 en omdat SSL v3.0 al eerder gekraakt is kunnen anderen meekijken.

Beschrijf je klacht (Optioneel):

captcha