Heartbleed Bug, OpenSSL, IIS e .NET Framework
L'Heartbleed Bug è una vulnerabilità nella popolare libreria OpenSSL. Ha causato parecchio panico in giro: il bug è stato corretto, ma è necessario aggiornare le applicazioni che hanno un riferimento ad una vecchia versione della libreria, altrimenti è possibile bypassare la crittografia.
IIS e il .NET Framework non ne fanno uso, perché Microsoft ha sviluppato una propria libreria (SChannel) per queste necessità, che usa fin dalle prime versioni di entrambi. Se quindi usate ASP.NET con IIS, siete al sicuro.
Questo discorso ovviamente non include il caso in cui abbiate un qualche reverse-proxy/load balancer/altro pezzo davanti ad IIS, che gestisce l'SSL per voi. In questo caso occorre che verifichiate se ci sono aggiornamenti per il vostro sistema (se usa OpenSSL, ce ne sonos sicuramente, perché la vulnerabilità è seria).
Infine, un chiarimento: non è SSL ad essere insicuro, ma il modo in cui è stato scritto un pezzo dell'implementazione di OpenSSL. Insomma, è un "semplice" errore di programmazione.
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
- AppFabric Caching, SQL Server e cache in throttling, il 17 gennaio 2012 alle 08:54
- Il concetto di consumo in Windows Azure, il 6 febbraio 2010 alle 13:35
- Vulnerabilità per IIS 6.0 e punti e virgola, il 30 dicembre 2009 alle 19:37
- Warm-up dell'applicazione con IIS 7.5, il 15 ottobre 2009 alle 09:44
- IIS 7.0 in Windows Server 2008 R2, il 12 gennaio 2009 alle 10:16