|
阅读:3790回复:10
[Nightly] Firefox 34.0 将默认禁用 SSLv3.0 版本
9月份的时候,Google 有发现 SSLv3.0 存在严重的漏洞,名叫 POODLE,攻击者可以利用这个漏洞在安全协商的过程中盗取用户加密的信息。现在 Nightly 已经完全去掉了 SSL3 的代码,并且在未来数周内应用到 Aurora 和 Beta,并最终在 Firefox 34.0 正式版时候默认禁用 SSLv3。
大家也不必着急, Firefox 已经支持 TLS 1.0 和 2.0,不打算更新到 34.0 的朋友可以安装 SSL Version Control 扩展来禁用 SSLv3,这说明,这个SSL3的禁用不仅仅是通过 about:config 里面的一个开关实现,而是从源代码中完全移除掉了。因为我也找不到 security.enable_ssl3 这个原来的 ssl3 选项。 The POODLE Attack and the End of SSL 3.0 |
|
|
|
1楼#
发布于:2014-10-21 19:52
给个SSLv3.0的网站测试一下
|
|
|
2楼#
发布于:2014-10-21 19:59
security.tls.version.min
|
|
|
3楼#
发布于:2014-10-21 20:36
|
|
|
|
4楼#
发布于:2014-10-21 21:51
楼上文章寓教于乐,怪不得mozilla不急,到34才修复。
|
|
|
5楼#
发布于:2014-10-22 10:36
这也要看浏览器本身的安全策略
比如才发布的基于31esr的tor browser 4.0就禁掉了sslv3.0…… |
|
|
|
6楼#
发布于:2014-10-22 15:12
知道bugzilla链接吗?
|
|
|
|
7楼#
发布于:2014-10-22 15:32
|
|
|
|
8楼#
发布于:2014-10-23 12:06
|
|
|
|
9楼#
发布于:2014-10-23 12:39
blog上那篇原文就没有提到删代码……
而且SSL Version Control的说明也有 If you want to change that setting later, like if you really need to access an SSLv3 site, just go to Tools / Add-ons and click the "Preferences" button next to the add-on. That will give you a drop-down menu to select the minimum TLS version you want to allow. |
|
|
|
10楼#
发布于:2014-10-23 14:09
这个漏洞主要是影响服务器的。
赶紧把 nginx 服务器的 SSLv3 协议给禁了。 |
|
