Szerző: Hlács Ferenc

2016. június 9. 16:13

A Google IMAP/POP is búcsúzik az elavult biztonsági protokolloktól

A keresőóriás végre teljesen kivezeti a jó ideje veszélyesnek minősített SSLv3 és az RC4 használatát.

Folytatja az SSLv3 és RC4 protokollok fokozatos nyugdíjazását a Google, az elavult biztonsági megoldások támogatását a keresőóriás a Gmail IMAP, illetve POP levelezőkliensekből is kivezeti, idén június 16-tal kezdve. A változást nem zúdítja azonnal a felhasználókra a vállalat, az több lépcsőben lép érvénybe, a megadott dátumot követően akár több mint harminc napra is szükség lehet, mire a cég teljesen elzárja a Gmailt az SSLv3 és RC4 kapcsolatok elől. Az elavult protokollok leváltását mindenesetre nem érdemes halogatni, a leállások biztos elkerülése végett mindenkinek javasolt a lehető leghamarabb frissíteni az érintett klienseket.

Szerencsére a váltás nem sokaknak okoz majd fejfájást, hiszen a legtöbb email kliens, ha van rá lehetősége, egy ideje már a modern TLS kapcsolatokat használja. Amennyiben valaki még mindig a fenti protokollokat alkalmazó IMAP vagy POP kliensekkel dolgozna, június 16. után ne lepődjön meg ha hibaüzenetekbe fut, a keresőóriás ezzel igyekszik mindenkit emlékeztetni a mielőbbi frissítésre - kiváltképp ha egy kliens csak az elavult protokollokat támogatná.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A vállalat a tervek szerint teljes szolgáltatáspalettáján kivezeti az SSLv3-at, illetve RC4-et - ezt persze senki ne várja meg, ha még nem tette volna, minél előbb kezdje meg az átállást a modern alternatívákra, a Google által tavaly ősszel, a két protokoll nyugdíjazásának első bejelentésekor kijelölteknek megfelelően.

Az IETF (Internet Engineering Task Force) egyébként már egy évvel ezelőtt  elavultnak és veszélyesnek minősítette az SSLv3-at, amely mára egyáltalán nem nyújt védelmet a modern támadások ellen. A protokoll ezzel lekerült az ajánlottak listájáról, és "MUST NOT" címkét, azaz teljes tiltást kapott a szervezet részéről - de az iránymutatáson túl a szabvány gyengeségét a 2014-es POODLE sebezhetőség is jól mutatja, amellyel egy fertőzött Wi-Fi hotspot (netán az internetszolgáltató és a hatóságok) gyengébb titkosításra veheti rá a kommunikáló klienst és szervert, amely aztán egyszerűen feltörhető.

Ami az RC4-et illeti, az algoritmus már évekkel ezelőtt sem számított biztonságosnak, ahogy arra a The Register is rámutat, a titkosítás már tavaly órák alatt feltörhető volt.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról