Warning: Illegal string offset 'addMap' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 639
Warning: Illegal string offset 'position' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 561
Warning: Illegal string offset 'position' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 603
Anche se la notizia è un pò datata mi preme mantenere una traccia sul mio blog perchè in passato mi son dovuto occupare di un progetto nel quale l’accesso in un’area riservata veniva controllato mediante richiesta di certificati lato client. E questa casistica rientra ..direi…
Stando al rapporto la vulnerabilità viene fuori ogni volta che per accedere ad un’area riservata di un server viene fatta una rinegoziazione tra server e client all’interno di una sessione già in essere. La rinegoziazione parte col richiedere il certificato lato client per trustare la parte client. La richiesta originaria viene replicata una volta autenticata mediante il certificato lato client; il problema è stato descritto come un “authentication gap”. In pratica il metodo permette un attacco del tipo MITM, ovvero un attaccante può intromettersi nella comunicazione e contemporaneamente spacciarsi come server per il client e come client per il server.
Maggiori particolari di un possibile attacco nell’articolo allegato.
Il problema affligge sia Microsoft IIS che il web server Apache. Una veloce patch è stata implementata da Ben Laurie ma questa molto semplicemente ferma la rinegoziazione, quindi non risolve il problema. Una soluzione di lunga durata è ancora in discussione col gruppo di lavoro dell’IETF che sta lavorando su di una bozza che dovrebbe contenere una soluzione.
Fonte notizia: http://www.h-online.com/security/news/item/Vulnerability-in-SSL-TLS-protocol-851478.html