BiTel

Форум BiTel
bgbilling.ru     docs.bitel.ru     wiki.bitel.ru     dbinfo.bitel.ru     bgcrm.ru     billing.bitel.ru     bitel.ru    
Текущее время: 29 мар 2024, 00:29

Часовой пояс: UTC + 5 часов [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
 Заголовок сообщения: Отключение SSL v3
СообщениеДобавлено: 24 окт 2014, 04:57 
Не в сети
Клиент

Зарегистрирован: 10 окт 2012, 17:00
Сообщения: 339
Карма: 0
Цитата:
Уважаемые клиенты!

На прошлой неделе была обнародована информация об уязвимости в протоколе
шифрования SSL версии 3 под кодовым названием POODLE (Padding Oracle On
Downgraded Legacy Encryption, CVE-2014-3566). Для ее эксплуатации
злоумышленнику требуется успешно выполнить против клиента одновременно
несколько серьезных атак, что значительно сужает возможную область
применения, поэтому уязвимость отнесена к среднему уровню критичности. В
случае успеха злоумышленник получает возможность прочитать фрагменты
информации, зашифрованной по протоколу SSLv3.

Обращаем Ваше внимание, что SSLv3 является очень старой версией
протокола, тем не менее многие приложения поддерживают его и используют
в случаях, когда недоступны более совершенные варианты (например, TLS
версии 1.2). Важно, что при наличии полного контроля над каналом
передачи данных, злоумышленник может попытаться искусственно вызвать
ситуацию недоступности современных протоколов шифрования, тем самым
повышая риск утечки передаваемой информации. Со стороны АПК Ассист были
оперативно предприняты меры, исключающие возможность эксплуатации
уязвимости POODLE. Однако, учитывая другие недостатки устаревшего
протокола SSLv3, его более нельзя считать безопасным и необходимо
отключить в пользу семейства криптографических протоколов TLS.

Для рядовых пользователей отключение SSLv3 приведет к невозможности
проведения оплаты из версий веб-браузеров, выпущенных более 8 лет назад
(Internet Explorer версии 6 и ниже, Opera версии 4 и ниже),
использование которых само по себе представляет гораздо большую угрозу
безопасности, чем уязвимость в SSL. Браузеры Firefox, Chrome и Safari
поддерживают более современные протоколы шифрования с момента своего
первого публичного выпуска.

Взаимодействие с веб-сервисами системы АПК Ассист также происходит по
протоколам шифрования SSL/TLS, поэтому после отключения SSLv3 некоторые
устаревшие программные клиенты *могут потерять возможность осуществления
запросов к АПК Ассист.* В целях предотвращения этой ситуации мы
объявляем о начале переходного периода, в течение которого запросы к
веб-сервисам АПК Ассист от программных клиентов, поддерживающих только
устаревший протокол SSL версии 3, будут фиксироваться отдельно от
остальных, а информация об этих фактах будет передаваться
соответствующим предприятиям в форме персональных уведомлений по
электронной почте.

*Полное отключение протокола SSLv3 на стороне веб-сервисов системы АПК
Ассист состоится во вторник, 28 октября в 14:00.* Для технических
специалистов, желающих произвести предварительную проверку совместимости
своих программных клиентов с новыми настройками безопасности и
протоколом шифрования TLS, подготовлен адрес —
https://test.paysecure.ru, успешный запрос к нему можно осуществить
только с использованием протоколов шифрования TLSv1.2, TLSv1.1 и TLSv1.0.

В случае возникновения каких-либо вопросов, пожалуйста, обращайтесь в
нашу службу технической поддержки.


Уведомлений по использованию SSL v3 не приходило, но - мало ли что - биллинг его не применяет? (:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Отключение SSL v3
СообщениеДобавлено: 24 окт 2014, 11:28 
Не в сети
Аватара пользователя

Зарегистрирован: 30 май 2008, 15:51
Сообщения: 6055
Карма: 244
Да, разработчикам тоже приходит такое, ssl там вообще нигде не применяется, как помнится. Всё что с https связано там стандартными средствами делано.

_________________
I'm clever. I've got a computer.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Отключение SSL v3
СообщениеДобавлено: 24 окт 2014, 11:31 
Не в сети
Клиент

Зарегистрирован: 10 окт 2012, 17:00
Сообщения: 339
Карма: 0
Спасибо за разъяснения.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Отключение SSL v3
СообщениеДобавлено: 24 окт 2014, 11:32 
Не в сети
Аватара пользователя

Зарегистрирован: 30 май 2008, 15:51
Сообщения: 6055
Карма: 244
Ну, 28го видно будет опять же) Хорошо что не выходной

_________________
I'm clever. I've got a computer.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 5 часов [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
POWERED_BY
Русская поддержка phpBB
[ Time : 0.060s | 26 Queries | GZIP : On ]