[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en
Tomasz Pala
gotar at polanet.pl
Tue Oct 21 16:46:26 CEST 2014
On Tue, Oct 21, 2014 at 14:13:49 +0200, Arkadiusz Miśkiewicz wrote:
>> Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
>> należy od razu wywalić dla nich support.
>
> Co wcale nie oznacza, że należy ów support zostawiać.
To wywalić trzeba od razu PPTP (co tam jakieś MS CHAP-y i inne
dziadostwa windowsowe trzymać dziurawe), WEP-a, MD5, wszystkie w ogóle
słabe szyfry, HTTP nieszyfrowane, i co tam - SMTP też do piachu.
Prawidłowe rozwiązanie to dostarczenie domyślnej konfiguracji, w której
tego typu niebezpieczne rozwiązania są wyłączone, ale można je na własne
życzenie włączyć. Bo jak nie to zaraz ktoś wyłączy bcondy LDAP czy
Kerberosowe, bo tam też na pewno były i są jakieś secbłędy w kodzie.
Wszystko inne to tworzenie iluzji, że PLD jest bezpieczne.
--
Tomasz Pala <gotar w pld-linux.org>
More information about the pld-devel-pl
mailing list