On Tue, Oct 21, 2014 at 14:13:49 +0200, Arkadiusz Miśkiewicz wrote: >> Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że >> należy od razu wywalić dla nich support. > > Co wcale nie oznacza, że należy ów support zostawiać.
To wywalić trzeba od razu PPTP (co tam jakieś MS CHAP-y i inne dziadostwa windowsowe trzymać dziurawe), WEP-a, MD5, wszystkie w ogóle słabe szyfry, HTTP nieszyfrowane, i co tam - SMTP też do piachu. Prawidłowe rozwiązanie to dostarczenie domyślnej konfiguracji, w której tego typu niebezpieczne rozwiązania są wyłączone, ale można je na własne życzenie włączyć. Bo jak nie to zaraz ktoś wyłączy bcondy LDAP czy Kerberosowe, bo tam też na pewno były i są jakieś secbłędy w kodzie. Wszystko inne to tworzenie iluzji, że PLD jest bezpieczne. -- Tomasz Pala <go...@pld-linux.org> _______________________________________________ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
