[ninux-not-wireless] craccato TLS 1.0 - SSL 3.1
Michele Favara Pedarsi
mfp at meganetwork.org
Wed Oct 5 16:49:34 CEST 2011
Il 05 ottobre 2011 21:40, <clauz at ninux.org> ha scritto:
> On 10/05/2011 04:25 PM, Eugenio La Cava wrote:
>> Il giorno 05 ottobre 2011 16:17, Luca Dionisi <luca.dionisi at gmail.com> ha
>> scritto:
>>
>>> 2011/10/5 Eugenio La Cava <eugenio.lacava at tiscali.it>:
>>>>> Scusate la domanda forse banale, ma da utente di del sito delle poste e
>>> di
>>>>> paypal la cosa mi potrebbe riguardare, come faccio a vedere che versione
>>> e
>>>>> tipo di soluzione di sicurezza utilizza un determinato sito? ci dovrebbe
>>>>> essere scritto sul sito o c'è altro modo?
>>>
>>> Ad esempio con firefox, apri la finestra Preferenze, accedi al
>>> pannello delle Avanzate, poi alla tab Encryption.
>>> Deseleziona "SSL 3.0" e "TLS 1.0".
>>> Ora apri il sito che vuoi in https, e se il server non supporta le
>>> versioni più recenti il browser dovrebbe dirtelo.
>>
>> se disattivo entrambe le caselle il firefox non mi carica più la pagina e
>> apre un errore lamentandosi di non avere ssl attivato. quindi vuol dire che
>> il sito delle poste non è sicuro?
>
> Il sito delle poste usa TLS 1.0 ma con RC4, quindi e' sicuro. Puoi
> verificarlo cliccando prima della scritta "https" sulla barra degli
> indirizzi del tuo browser.
> Se un sito usa TLS 1.0 ma con AES (esempio paypal.com) meglio lasciar
> perdere, invece!
Questa me la spieghi per favore? In teoria un block cipher (AES)
dovrebbe essere piu' sicuro di uno stream cipher (RC4) per http ... mi
sono perso qualcosa?
ciao
mfp
More information about the Not-wireless
mailing list