alphamale

Co jak co, ale błędy wskazane w raporcie powinny zostać załatane, to nie ulega wątpliwości?!

@BOFH Nawiazanie jest takie, ze atak beast to zaden wyznacznik elementarnego braku zabezpieczenia ...

Otóż jest elementarnym brakiem zabezpieczenia SSL po stronie serwera. Konfiguracja SSL zajmuje nie więcej niż kwadrans, wliczając w to czas na poszukiwanie gotowych rozwiązań.

Trudno jest się nie zgodzić z raportem, że są to podatności, można je wykorzystać, a zabezpieczyć jest się bardzo łatwo, więc takie dyskutowanie jak mocne jest to uchybienie oraz jak trudne do wykorzystania nie ma sensu, skoro można w chwilę się zabezpieczyć. Sam sobie odpowiedziałeś - skoro można było się zabezpieczyć w parę chwil, to nic tylko teraz zakasać rękawy i poświęcić tą chwilę na to.

@BOFH no w 33 sekundzie Twojego filmiku stoi "beast attacks SSL in your browsers".. w 1:05 "beast consists of a network sniffer and Javascript/applet".. i jest on uruchamiany na komputerze usera. Pytasz co odpowiada za bezpieczenstwo logowania? no na pewno nie to, ze hosting ma dziurawego mysqla, php i apache podatne na 100 exploitow. najwazniejsze, ze jego SSL podatny jest na atak, do ktorego potrzeba zaangazowac 5x tyle roboty i gowno on Ci w przeliczeniu da . Dobrze Ci radze, daruj sobie juz te polemiki .

Toż to ignorancja i niezrozumienie celu raportu

@#13 alphamale jakbyś się przyłozył do sprawy to byś zauwazyl, ze webhostingtalk.pl ma jako serwer http litespeeda.. a on sila rzeczy nie jest podatny na to co apache..

Próbujesz w ten sposób kogoś zdyskredytować? Zadaj sobie inne pytanie, dlaczego inni nie mogli zainstalować serwera webowego, którego domyślna konfiguracja modułu SSL jest bezpieczna?

A co do błędów Apache, to nie błędy zw. tylko Apache ;]

Chciałbym w tym miejscu coś podsumować, według mnie raport fajny, bo pozwala dostrzec błędy bezpieczeństwa i to ewidentne! SSL2.0 - miazga, BEAST/CRIME trochę roboty przy ataku ale warto i można praktycznie wykorzystać, słabe szyfry - miazga.

Zamiast zauważyć, że raport z pewnością poprawi stan bezpieczeństwa klientów firm hostingowych, czyli coś jednak zmieni na lepsze, to po co wytykać nieistotne mankamenty publikacji?... a może koledzy pracują w którejś z firm z listy i próbują w ten sposób podważyć wiarygodność raportu... to by miało sens... aye

@BOFH nie popusc w gacie.. zrob sobie https://www.ssllabs.com/ssltest/ dla mbnaku albo np. inteligo i zobacz co wyjdzie . "elementarne" bledy ssla w bankach? to z pewnoscia spisek. Albo autor raportu porwal sie z bazooka na muchy .

No popatrz, a www.webhostingtalk.pl potrafił skonfigurować prawidłowo i włożyć w to pewnie z kwadrans

Raport jest ogólny i w sumie tylko kilka wylistowanych tam firm hostingowych nie istnieje (co nie umniejsza wartości całości). Konfiguracja SSL ogólnie chyba jest zaniedbywana. Raport może zwróci na to uwagę i polepszy stan bezpieczeństwa tych firm.

Może kogoś zainteresuje: