Bonjour,
Pour compléter Wallace, je me permets de linker le site de microsoft : https://www.modern.ie/en-us/ie6countdown
On voit que IE6 en france est à 0.8% …
Le Thursday 16 Oct 2014 à 11:25:07 (+0200), Wallace a écrit :
Bonjour, Il faut désactiver surtout le SSL toute version du côté des serveurs. Ce n'est pas pour les quelques personnes qui utilisent encore un IE6 non mis à jour sur XP que l'on va mettre en danger tout ceux qui ont des navigateurs récents. Normalement rien qu'avec le choix d'algorithmes sécurisés la compatibilité avec les vieux navigateurs est déjà cassée et si tel est le cas le serveur est déjà vulnérable à d'autres failles.
Conclusion c'est un argument de plus pour couper définitivement SSL.
Le 15/10/2014 09:20, Pierre Schweitzer a écrit :
Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il est important de noter que c'est une faille dans le protocole et non dans une implémentation du protocole. Les détails sont dévoilés ici : http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting...
Pour résumer ce qui y est dit, il faut désactiver SSLv3 dans le meilleur des cas, ou au moins, empêcher les clients de passer de TLS à SSLv3 en cas d'erreur réseau (ce qui est une technique pour exploiter la faille). Par ailleurs, on parle beaucoup de HTTP comme protocole vulnérable (ce qui est un fait), mais la faille s'appuie notamment sur des bouts de texte connus pour avoir le reste (donc, récupérer les cookies par exemple sur HTTP). Cela veut dire que ça marche sur d'autres protocoles verbeux, type IRC (pour récupérer le mot de passe).
Un client n'est vulnérable que si on est capable de sniffer ses paquets, donc wifi, MITM, etc.
Debian (par exemple), va désactiver le support de SSLv3 sur Iceweasel.
Bonne journée, _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/