Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties

Apple stopt met de ondersteuning van ssl 3.0 voor pushnotificaties, de verouderde versie van ssl waar Google-onderzoekers onlangs een kwetsbaarheid in vonden. Ook Twitter maakte onlangs bekend ondersteuning voor ssl 3.0 uit te faseren.

Apple logoApp-ontwikkelaars die pushnotificaties naar de Apple-servers versturen moeten er dan ook voor zorgen dat die servers tls ondersteunen. App-ontwikkelaars die hun servers niet geschikt maken, kunnen vanaf 29 oktober geen pushnotificaties naar iOS- en OS X-apparaten meer versturen, waarschuwt Apple.

Ontwikkelaars die pushberichten naar iOS-gebruikers willen versturen kunnen dat niet rechtstreeks: ontwikkelaars sturen hun berichten naar een Apple-server, die het op zijn beurt doorpusht naar de telefoon, tablet of pc van een gebruiker. Het gaat om de notificaties die gebruikers in het lockscreen en notificatiecentrum te zien krijgen.

Apple geeft enkel expliciet aan dat de verbinding tussen de server van de app-ontwikkelaar en de Apple-server geen ondersteuning meer heeft voor ssl 3.0; het is onbekend hoe het zit met de verbinding tussen de gebruiker en de Apple-notificatieserver. Het is aannemelijk dat ook die verbinding geen ondersteuning voor ssl 3.0 meer zal hebben.

Vorige week vonden Google-onderzoekers een ernstig lek in ssl 3.0. Een aanvaller die iemands verkeer kan onderscheppen kan daardoor bijvoorbeeld cookies die over https worden verzonden, onderscheppen. Ssl 3.0 is sterk verouderd, maar wordt uit legacy-overwegingen vaak nog ondersteund. Inmiddels zijn webbrowsers bezig met het uitfaseren van de ondersteuning.

Onlangs schrapte Twitter ook al ondersteuning voor ssl 3.0, wat vooral problemen oplevert voor gebruikers van oude browsers als Internet Explorer 6. Uit onderzoek van de Universiteit van Michigan onder de, volgens Alexa, miljoen grootste websites bleek dat op 12 oktober 96,9 procent van die websites ondersteuning voor ssl 3.0 had. Dat is nu waarschijnlijk minder; onbekend is hoeveel.

Moderatie-faq Wijzig weergave

Reacties (26)

Nou mooi, en zo volgen er waarschijnlijk nog 10miljoen bedrijven, en wat is de adoptie van een nieuw protocol kunnen wij daar als gebruikers iets van merken peformance etc?
SSL 3.0 is al jaren geleden opgevolgd door TLS.
In de volksmond hebben we het vaak over het gebruik van SSL, maar in de praktijk wordt meestal TLS gebruikt. Ondersteuning voor SSL 3.0 (en erger nog: 2.0, inclusief ernstige kwetsbaarheden) is echter vaak nog aanwezig i.v.m. compatibiliteit.
Ondersteuning voor SSL 3.0 (en erger nog: 2.0, inclusief ernstige kwetsbaarheden) is echter vaak nog aanwezig i.v.m. compatibiliteit.
Een beetje relativeren. Op schrikbarend veel servers staat nog SSL 2.0 aan. Echter zijn op veel van deze servers geen cipher suites ingeschakeld waar SSL 2.0 mee om kan gaan. Effectief is daarmee SSL 2.0 niet bruikbaar, ook niet voor exploitatie.

Dat is overigens geen excuus om het aan te laten staan. ;)
En terecht! ze zouden eigenlijk al wat eerder de support van 3.0 weg moeten trekken ik snap het wel.. vanwege legacy applications maar het is zo'n verouderde standaard.. Goed bezig in iedergeval!
Kan r niet mee zitten dat oudere browsers niet met worden ondersteund. Mensen en ontwikkelaars moeten er gewoon eens voor zorgen dat iedereen de nieuwste versie van een browser heeft. Gelukkig doen Firefox en Chrome dit automatisch. Nu zorgen dat IE 11 /12 ook op oudere platformen ( Vista en 7) draait.

Dit zou web ontwikkelaars een hoop polyfils en falback code schelen en natuurlijk dat iedereen de nieuwste versie van HTTP en SSL / TSL gebruikt. Zou de wereld van het web een stukje mooier maken.
Waarom dit wel nieuws is en heel veel andere sites niet? Het gaat hier niet om ondersteuning door browsers zoals bij de meeste anderen wel het geval is. Wanneer een ontwikkelaar een pushbericht wil versturen gaat dat door een - beveiligde - verbinding op te zetten met Apple. Op het moment dat je een SSL3 verbinding probeert op te zetten nadat de stekker eruit is getrokken worden er geen berichten meer verzonden. Omdat iOS heel veel ontwikkelaars heeft is het toch relevante informatie voor diezelfde ontwikkelaars dat ze aan de slag moeten.
Waarom veel berichten nog over ssl3 gaan? Legacy, systemen zijn jaren geleden opgezet en functioneren gewoon prima.
Hier een perfecte link om de SSL te testen

https://www.ssllabs.com/ssltest/

ikzelf heb begin deze week al mijn https servers aangepast en heb nu overal A O-)

[Reactie gewijzigd door samson007 op 23 oktober 2014 15:26]

Tja - de fans zullen wel weer denken dat men overdrijft - net zoals men denkt dat ik overdrijf. Het is wat het is - men denkt wat men wil.
Zolang Apple de gebruiker er niet mee naait vind ik het een goede ontwikkeling als ze een nieuw protocol gaan gebruiken welke veiliger is :)
Ik trek met mijn hostingbedrijf voor de zekerheid ook maar de stekker uit sslv3
Omdat, zoals je wellicht weet, heel veel developers push notifications hebben geļmplementeerd in hun Apps. Apple heeft mails gestuurd naar devs dat ze vanwege de POODLE vulnerability in SSL 3.0 per 29 oktober SSL 3.0 support gaan stoppen. Dat heeft dus grote impact voor alle developers / organisaties die hun APNS integratie nog steeds via SSL 3.0 hebben lopen, en dįįrom is het nieuws...
Blijkbaar houd je dan van scheten? aangezien je er als eerste bij bent.

Als je ook ff het stuk leest voordat je met een comment komt, kun je zien dat ook andere partijen ermee stoppen. En wat dan nog als het alleen Apple zou zijn ? als het informatief is dan mag het geplaatst worden.

[Reactie gewijzigd door Wieriemaster op 23 oktober 2014 13:20]

Waarom? Apple is echt niet de enige die de stekker er uit trekt hoor.
Dit is verder gewoon een informatief stuk. ik snap je probleem hier niet mee.
Apple is inderdaad niet de enige die de stekker er uit trekt, maar Apple staat wel in de titel van het stukje en de rest niet. Daar heeft mkools24 het over.

Het is inderdaad een informatief stuk, daar is niks mis mee.
Men vernoemt Apple omdat het bij Apple de grootste impact heeft op een deel van de Tweakers lezers. Dit treft ontwikkelaars voor iOS en daar zijn er wel een pak van. Het is dan ook niet verwonderlijk dat Apple in de titel staat.

De FP staat elke dag vol met nieuws over Samsung en Google. Ik denk dat dat de verhouding 4 berichten van hen tegen 1 bericht van Apple is en telkens weer zie je dezelfde soort idiote uitspraken als "weeral Apple ..."
Elk nieuwsbericht op Tweakers is tijdelijk voorpagina nieuws, enkel en alleen omdat recente berichten daar worden weergegeven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True