У Вас все еще включен SSL3? Проверьте сервер и браузер на уязвимость POODLE

    Уязвимость POODLE известна уже довольно давно. Ее описание встречалось на Хабре, однако проблема все еще остается актуальной, и SSL 3.0 все еще используется на многих веб серверах. ХостТрекер предлагает простой способ проверить, есть ли эта уязвимость на стороне Вашего браузера или же любого веб сервера.




    Проверка браузера происходит автоматически сразу же после выбора SSLv3 как метода проверки. Для проверки сервера, необходимо ввести адрес сайта и нажать «проверить». В результате будет совершена попытка подключения через SSL 3.0 и возвращен результат — удалось или не удалось подключиться, соответственно, будем знать, включен ли этот протокол на проверяемом сервере.



    Стоить подчеркнуть: наличие поддержки более поздних версий защищенного протокола не является панацеей от этой уязвимости. Как отмечено в упомянутой выше статье, всегда есть способ заставить вернуться к старой версии протокола. Единственный выход — полное ее отключение. Поэтому, если проверка покажет, что протокол включен — дырка в безопасности имеет место быть. Для того, чтобы обезопасить себя, достаточно просто обновить браузер. Состоянием на конец 2014 года эта уязвимость была закрыта в последних версиях всех популярных браузеров. С серверами несколько сложнее. Конечно, на данный момент более 99% всех веб серверов используют более новые протоколы по умолчанию. Тем не менее, достаточное их количество одновременно поддерживают SSL 3.0 «на всякий случай». А это потенциальная угроза.

    ХостТрекер
    Сервис мониторинга доступности сайтов
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      +1
      А в чём угроза — возможность расшифровки трафика MITM или более серьёзный эксплойт?
        +1
        Извините конечно за прямость, но все же вторая строка статьи: «Ее описание встречалось на Хабре» (ссылка).
          +1
          Вы эту простыню видели? По-моему, в статье об уязвимости её характер должен быть раскрыт одной строкой до хабраката, а не отсылать куда-то, где всё подробно расписано, но краткого описания также нет, по крайнем мере на первой странице.
          0
          Угроза состоит в том, что злоумышленник, в случае возможности контроля промежуточного трафика, может расшифровать данные, передаваемые по защищенному протоколу. При чем, сделать это довольно просто. А если вдруг используется более новый протокол — может симулировать непринятие нового с целью заставить использовать более старый, пока по обратному отсчету версий не дойдет до SSL 3.0, если он не заблокирован.
          0
          Захожу, мне пишут — введите мыло и адрес сайта. Ввожу.

          На следующей странице читаю «введите пароль и новый пароль» — опа, приплыли! Регистрация, два пароля, «вам высланы данные на почту» и прочее… Иду я почту, щелкаю на ссылке (при использовании ее пароль не нужен, но на следующей странице его все равно спросят, для принудительной замены), беру из письма временный пароль, вбиваю в форме, вбиваю новый пароль.

          На странице следом читаю — «начат ваш 30 дневный триал». Опа дважды!

          Почему на массе других сервисов такого насилия над юзабилити нет? И у них все работает и без этих бзиков…

          Я бы предпочел на титульной видеть строчку «введите адрес сайта». Ввели — и получили сразу анализ, что про него можно сказать (время пинга, видимость «из мира», уязвимости и прочее). И еще одно поле — если вы хотите мониторить этот сайт в дальнейшем, введите сюда мыло". Ввели мыло — получили на него пароль и указания, что его можно поменять в панели аккаунта.

          Так сделано на многих сайтах, и выглядит удобным. У вас — много шагов и в конце впечатление, что «без меня меня женили», т.е. подписали на какой-то триал. Я понимаю, что триал — это «30 дней бесплатно», но давайте в эти игры играть с согласия юзера, тем более что про триал ни в посте, ни на первых страницах я не заметил ничего…

          P.S. Сразу же переключился на free тариф, пойду читать, как убить аккаунт. Пользоваться не буду, а спама/рекламы, уверен, получу достаточно.

          P.P.S. Пытался отписаться. Не нашел. Оно вообще возможно?
            +3
            Ого ж вы даёте, для вас даже скриншот в статье вставили, куда что вбивать надо, чтобы «без регистрации и смс», а вы всё равно умудрились уйти не туда (что, впрочем, не отменяет кривизны процесса регистрации).

            А для проверки SSL на сервере лучше всё ж таки SSL Test от SSL Labs. Проверяет вообще всё.
              +2
              Рекламы у нас нет. Совсем. Весь «спам» (который является оповещениями о работе сайта) легко включается/выключается из Вашей учетной записи. Если долго ей не пользоваться — она автоматически будет удалена. Если же Вы желаете немедленно удалить учетку — напишите в нам поддержку.
              Весь описанный функционал доступен без регистрации с главной страницы. Ваш опыт мы, конечно, учтем — действительно, форма регистрации размещена по центру страницы с целью привлечь внимание. Согласитесь, для Landing Page это нормально. Но, возможно, для подобного функционала нужно сделать отдельную страницу, чтобы не возникало подобной путаницы.
                0
                Для начала, «форма регистрации» выглядит как форма «введите домен и мыло», что похоже на массу других проверяльщиков на уязвимость. С этой ошибки все и началось.

                Была бы у вас отдельная страница для проверки без регистрации, и на ней бы ссылка «Сервис предоставляется замечательной компанией ...» — было бы привычнее по таким же сервисам, и сразу бы разделило, где платно, а где нет. А если бесплатную услугу нельзя понять, как получить без чтения документации и изучения скриншотов на стороннем ресурсе — это, согласитесь, промах UI.

                Я к вашей компании давно хорошо отношусь, но UI у вас все еще не просто из прошлого века, а напоминает советские времена: все вроде есть, но разбросано, непривычно, и шаги требуется продумывать, а не быстро прощелкивать, используя опыт использования других подобных сервисов.

                Надеюсь, что, создав неплохой сервис, вы теперь смогли бы потратить толику времени на хорошую его подачу в интерфейсе, и сервис станет без ощущения, что им надо пользоваться «несмотря на».

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое