<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <font face="Helvetica, Arial, sans-serif">Si mi pare proprio di si.<br>

      Javascript è l'unico a poter girare sul browser dell'utente e ad

      essere in grado di gestire i cookie.<br>

      Basterebbe un semplice <iframe> per farlo "eseguire".<br>

      <br>

      Gubi<br>

      <br>

    </font>

    <div class="moz-cite-prefix">Il 16/10/2014 16:58, Saverio Proto ha

      scritto:<br>

    </div>

    <blockquote

cite="mid:CAPmmg8t_v56Yjy6iHndtEe7Vg6v07ZKcNX3eJ6h968gxAo_Hyw@mail.gmail.com"

      type="cite">

      <pre wrap="">

Non ho capito questa parte:

An attacker can run Javascript in any origin in a browser and cause

the browser to make requests (with cookies) to any other origin. If

the attacker does this block duplication trick they have a 1-in-256

chance that the receiver won't reject the record and close the

connection. If the receiver accepts the record then the attacker knows

that the decryption of the cookie block that they duplicated, XORed

with the ciphertext of the previous block, equals seven. Thus they've

found the last byte of the cookie using (on average) 256 requests.

Quindi per lanciare l'attacco bisogna pilotare il browser dell'utente,

facendolo andare ad esempio su un sito compromesso con javascript

malevolo ?

Saverio

Il 16 ottobre 2014 16:38, Clauz <a class="moz-txt-link-rfc2396E" href="mailto:clauz@ninux.org"><clauz@ninux.org></a> ha scritto:

</pre>

      <blockquote type="cite">

        <pre wrap="">Ciao.

E' stata scoperta una vulnerabilita' nel protocollo SSLv3, che quindi

andrebbe disabilitato sia nei browser che nei server web, in modo che le

connessioni HTTPS non utilizzino questa specifica versione di SSL.

Per Firefox:

scrivere <a class="moz-txt-link-freetext" href="about:config">about:config</a> nella barra degli indirizzi e settare

security.tls.version.min a 1.

Per Chrome (forse anche chromium??):

far partire il browser con il flag --ssl-version-min=tls1

Links:

<a class="moz-txt-link-freetext" href="http://googleonlinesecurity.blogspot.ru/2014/10/this-poodle-bites-exploiting-ssl-30.html">http://googleonlinesecurity.blogspot.ru/2014/10/this-poodle-bites-exploiting-ssl-30.html</a>

<a class="moz-txt-link-freetext" href="https://www.imperialviolet.org/2014/10/14/poodle.html">https://www.imperialviolet.org/2014/10/14/poodle.html</a>

<a class="moz-txt-link-freetext" href="https://www.openssl.org/~bodo/ssl-poodle.pdf">https://www.openssl.org/~bodo/ssl-poodle.pdf</a>

Clauz

_______________________________________________

Wireless mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a>

<a class="moz-txt-link-freetext" href="http://ml.ninux.org/mailman/listinfo/wireless">http://ml.ninux.org/mailman/listinfo/wireless</a>

</pre>

      </blockquote>

      <pre wrap="">_______________________________________________

Wireless mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a>

<a class="moz-txt-link-freetext" href="http://ml.ninux.org/mailman/listinfo/wireless">http://ml.ninux.org/mailman/listinfo/wireless</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>