Re: faille openssl debian

A. Caspis wrote:
> [...]
> Le scénario qui m'inquiète est celui où un client sans certificat
> s'est connecté depuis 2006 à un serveur SSH ou HTTPS à clé faible.
>[...]

Pour HTTPS le fait que le client ait un certificat ne change rien (Ce 
qui change vraiment quelquechose, c'est que si un protocole DH est 
utilisé, le chiffrement sera de qualité sauf si le serveur ET le client 
ont un chiffrement faible. Firefox avec un apache va utiliser du 
DH/AES256 par défaut, pas IE)

Pour SSH, c'est une référence au risque que sans certificat son mot de 
passe soit capturé en plus de déchiffrer la session ?

J'espère en tout cas que cet énorme plantage puisse avoir en conséquence 
un changement de philosophie sur la manière dont les dév Debian 
introduise des patch sur les logiciels dans leur distrib, qu'ils se 
donnent la peine de faire des vrais retours upstream, et qu'ils 
développent quelques réflexes d'évaluation de la sensibilité du patch 
(je m'apprète à patcher le *générateur* *aléatoire* d'une librairie 
crypto, est-ce que c'est sensible, est-ce que j'ai intérêt de m'entourer 
du *maximum* du précaution ? Est-ce que j'ai bien mentionné en en 
parlant que je suis développeur Debian, que le changement va se 
retrouver dans la package standard et qu'il ne s'agit pas juste de 
déboguer mon appli à la maison ? J'ai mis juste 1 ligne de contexte, par 
exemple chez Mozilla ils ont standardisé le fait d'en mettre 10, c'est 
juste pour s'amuser à alourdir les patch ou bien ça servirait à 
quelquechose des fois ?)