Apple elimina SSL 3.0 de su servicio de notificaciones en respuesta al bug POODLE

Buena respuesta por parte de Apple

No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.

Magallanes escribió:No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.

Mejor dejarlo y que se puedan acceder a datos personales no?
Apple da unos días para actualizar las aplicaciones que utilicen SSL 3.0 por lo que quien se quede "fuera del mercado" es porque quiere.

Magallanes escribió:

No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.

es que el otrolado deberia usar ssl igual que todo el mundo deberiamos utilizar https, yo llevo mas de dos años usando una llave otp yubico con varios factores de auth

Suq'ata escribió:Buena respuesta por parte de Apple

WTF?

Lo suyo sería que solucionaran el problema corrigiendo el bug en vez de quitarlo y dejar en bragas a un monton de gente, digo yo vamos... Es como si Google te hace desinstalar el Chrome porque han encontrado un bug, coño pues que lo arreglen!

erikoptero escribió:

Suq'ata escribió:Buena respuesta por parte de Apple

WTF?

Lo suyo sería que solucionaran el problema corrigiendo el bug en vez de quitarlo y dejar en bragas a un monton de gente, digo yo vamos... Es como si Google te hace desinstalar el Chrome porque han encontrado un bug, coño pues que lo arreglen!

Para qué va a arreglar Apple un bug de un protocolo obsoleto, aparte que dudo que nadie vaya a arreglarlo

erikoptero escribió:

Suq'ata escribió:Buena respuesta por parte de Apple

WTF?

Lo suyo sería que solucionaran el problema corrigiendo el bug en vez de quitarlo y dejar en bragas a un monton de gente, digo yo vamos... Es como si Google te hace desinstalar el Chrome porque han encontrado un bug, coño pues que lo arreglen!

Vamos a ver, es un fallo del protocolo, no de la implementación de Apple, no se puede arreglar, la única forma de arreglarlo, seria cambiar el protocolo, pero entonces dejaría de ser ese protocolo y por tanto dejaría de funcionar. Lo mas sensato es dejar de dar soporte y hacer que el que lo use migre a protocolos mas seguros.

AkGlo escribió:

Magallanes escribió:No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.

Mejor dejarlo y que se puedan acceder a datos personales no?
Apple da unos días para actualizar las aplicaciones que utilicen SSL 3.0 por lo que quien se quede "fuera del mercado" es porque quiere.

Solamente si hay un hombre entre medio. En que casos?.

a) Si alguien intercepta tu comunicacion en una red local si y solo si se usa HUB. Si se usa Switch entonces, no es posible interceptar.
b) Si alguien intercepta tu comunicacion en una red wifi que use HUB y que sea abierta. Es decir, un wifi abierto.
c) Si uno se conecta a un proxy peligroso, Esto incluso sirve para atacar TLS

Que pasa si Apple quita SSL3?.
Simple, todos los servicios y pagina web que utilicen ese protocolo, los usuarios de Apple no van a poder conectarse.

gente que ha leido apple y no sabe lo que es ssl3 y aun asi critica #estoeselotrolado

Magallanes escribió:Que pasa si Apple quita SSL3?.
Simple, todos los servicios y pagina web que utilicen ese protocolo, los usuarios de Apple no van a poder conectarse.

Es el servicio de notificaciones... no están quitando SSL3 de Safari, están haciendo que si quieres utilizar el servicio de notificaciones tengas que hacerlo por TLS ya que otorga mayor seguridad. Es algo que afecta a los proveedores no a los usuarios.

Mas lógico imposible. ¿Es que todo debe convertirse en una crítica a Apple incluso las cosas positivas?

AntoniousBlock escribió:

Magallanes escribió:Que pasa si Apple quita SSL3?.
Simple, todos los servicios y pagina web que utilicen ese protocolo, los usuarios de Apple no van a poder conectarse.

Es el servicio de notificaciones... no están quitando SSL3 de Safari, están haciendo que si quieres utilizar el servicio de notificaciones tengas que hacerlo por TLS ya que otorga mayor seguridad. Es algo que afecta a los proveedores no a los usuarios.

Mas lógico imposible. ¿Es que todo debe convertirse en una crítica a Apple incluso las cosas positivas?

no te canses, la gente ha leido apple y nada mas

Han cortado de raiz , sin comentarios


http://www.abc.es/tecnologia/moviles-te ... 01039.html

oscx7 escribió:Han cortado de raiz , sin comentarios


http://www.abc.es/tecnologia/moviles-te ... 01039.html

Los de la competencia no se queman no?

https://www.yahoo.com/tech/girls-galaxy ... 39699.html

Juan_Garcia escribió:Los de la competencia no se queman no?

https://www.yahoo.com/tech/girls-galaxy ... 39699.html

Quien ha hablado de quemar?, Exploto porque si, por otra parte apple y samsung deberian de ser sancionados por estas cosas, y en caso de resposabilidades penales hacer cumplir la ley ( imaginate que explotase el iphone al lado de un bebe)

Y como minimo estos telefonos de alumino lo que hacen es doblarse por el calor ( cosa que no pasa con los de plastico), y no es la primera vez que pasa

oscx7 escribió:

Juan_Garcia escribió:Los de la competencia no se queman no?

https://www.yahoo.com/tech/girls-galaxy ... 39699.html

Quien ha hablado de quemar?, Exploto porque si, por otra parte apple y samsung deberian de ser sancionados por estas cosas, y en caso de resposabilidades penales hacer cumplir la ley ( imaginate que explotase el iphone al lado de un bebe)

Y como minimo estos telefonos de alumino lo que hacen es doblarse por el calor ( cosa que no pasa con los de plastico), y no es la primera vez que pasa

pues te van a decir que no te los pongas en el c... jajaja y ya! todo arreglado. tu dinero tirado a la basura y una cicatriz que te lo recordará toda tu vida

Juan_Garcia escribió:

oscx7 escribió:Han cortado de raiz , sin comentarios


http://www.abc.es/tecnologia/moviles-te ... 01039.html

Los de la competencia no se queman no?

https://www.yahoo.com/tech/girls-galaxy ... 39699.html

Esto es lo de siempre . Apple hace algo y todo el mundo le critica . Yo no digo que sea bueno o malo , solo espero que tomen las mejores medidas posibles para todos

Me parece lógico, es un protocolo obsoleto, y ya avisaron que seria jodido arreglar este bug. Me parece lógico que eliminen el soporte cuando ya tienen implementado otro que sirve para lo mismo, no esta obsoleto, y a día de hoy esta libre de bugs.

PD: Creo que son mis primeras palabras buenas hacia apple desde hace mucho tiempo

Magallanes escribió:

No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

Apple asi se las gasta,quitan y deshacen a placer.Ellos manejan los cacharros no sus usuarios.

oscx7 escribió:Y como minimo estos telefonos de alumino lo que hacen es doblarse por el calor ( cosa que no pasa con los de plastico), y no es la primera vez que pasa

Juas, chorrada al canto. Que mas te da que el aluminio se doble al calor (necesitas un soplete por cierto), si lo que ha pasado es que ha estallado la batería? Si hubiera sido de plástico hubiera tenido probablemente las mismas heridas.

Solieyu escribió:

Magallanes escribió:

No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

Apple asi se las gasta,quitan y deshacen a placer.Ellos manejan los cacharros no sus usuarios.

trolldroid inside

Dejad de hacer una puta mobtaña de un grano de arena. Lo único que han hecho es reemplazar SSL3.0 con TSL. Lo mismo que han hecho 2 millones de servicios desde que salió el bug a la luz.
Lo que no sé es qué tiene esto de noticia. Parece que haya que retransmitir cada cosa que haga Apple.

La gente debería enterarse un poquito antes de criticar. SSL 3.0 es un protocolo obsoleto, de mediados de los 90, y el único motivo por el que se mantenía es por motivos de compatibilidad. TLS data de 1999 así que ha habido tiempo de sobra de que todo el mundo se adapte. Para los que sí quieran leer, el bug Poodle tiene dos partes. La segunda es el ataque en sí, ser capaz de leer los datos, pero la primera consiste en forzar a los servidores y clientes a usar SSL 3.0 en vez de cualquier otro protocolo más reciente. Básicamente, en la fase de negociación del protocolo de seguridad pasaría algo así:

• Cliente: Hola Servidor, ¿qué tal el día? Me gustaría hablar contigo en TLS 1.2
• Señor de en medio: Hola, no soy el servidor pero tú no te vas a enterar. Por cierto, resulta que no puedo usar TLS 1.2 (o eso te quiero hacer pensar ).
• Cliente: Vaya, qué pena. ¿Y qué tal te va TLS 1.1?
• Señor de en medio: Pues va a ser que tampoco
• Narrador: Pasaron las horas y por fin llegaron al protocolo conflictivo.
• Cliente: Madre mía, sí que eres especialito. Venga, tiramos con SSL 3.0
• Señor de en medio: Ahí te quería ver yo, perfecto, estamos de acuerdo. Por cierto, Servidor, tengo aquí un cliente que sólo puede usar SSL 3.0 (ya verás como se lo traga )
• Servidor: Pues sí que hay gente anticuada por el mundo. Muy bien, ¿de qué quieres hablarme?
• Señor de en medio: Cliente, empieza a soltar, no te preocupes por mí que ni te vas a enterar de que estoy .

Y bueno, una vez engañados cliente y servidor el atacante hace los trucos de Poodle para ganar acceso al contenido de los mensajes cifrados. Pero la realidad es que muy poquitos desarrolladores se crean sus rutinas para gestionar estos protocolos de seguridad, si no que usan librerías públicas (de ahí que los bugs de OpenSSL y demás sean tan graves). Así que casi todos los servidores y clientes soportan ya alguna versión de TLS y si no, actualizarlos debería ser trivial. Por tanto a lo tonto ha surgido la oportunidad de desterrar SSL 3.0 por fin. El movimiento de Apple tiene todo el sentido del mundo y no es nada criticable (dando además tiempo a los desarrolladores). Del mismo modo que Mozilla, nada sospechosa de esas prácticas que se le critican a Apple, va a quitar SSL 3.0 de la próxima versión de Firefox. Y así muchos más.

Así que antes de criticar algo así simplemente porque sale el nombre Apple convendría entender un poco de qué va el asunto.