aeris22’s avataraeris22’s Twitter Archive—№ 58,540

  1. …in reply to @pbeyssac
    @pbeyssac @zuzur Globalement non, ça ne bouge pas. Ça bouge quand tu restes en permanence sur la ligne rouge en espérant passer entre les gouttes. EECDH+AES, c’est utilisable depuis au moins 3-4 ans sans soucis.
    On twitter.com Twitter logo aeris22’s avatar Mood 0
    1. …in reply to @aeris22
      @pbeyssac @zuzur Et ça ne devrait pas avoir à bouger avant des plombes. Et si ça doit bouger, ça sera la cryptocalypse, vu qu’on n’a rien de prêt pour aller au delà actuellement… (TLSv1.3 ou CHACHA pas encore mature).
      Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 2 Favorites Mood +2 🙂
      1. …in reply to @aeris22
        @pbeyssac @zuzur Les différents problèmes sur TLS de ces dernières années sont en réalité plutôt des problèmes de gens qui conservent de vieux trucs pourris « par souci de compat’ » justement.
        Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
        1. …in reply to @aeris22
          @pbeyssac @zuzur Hormis Heartbleed, tout le reste aurait juste du en toucher une sans faire bouger l’autre. RC4, SWEET32 (3DES), POODLE (TLSv1.0 & TLSv1.1), DROWN (SSLv2)… Tout ça aurait du être désactivé DEPUIS DES PLOMBES quand les failles sont tombées.
          Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood -6 🙁
          1. …in reply to @aeris22
            @pbeyssac @zuzur Les boîtes auraient déjà du assurer la transition vers autres choses plutôt que d’attendre de se prendre un déluge sur le coin de la face.
            Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
            1. …in reply to @aeris22
              @pbeyssac @zuzur C’est pareil, actuellement on sait DÉJÀ que SHA1 sera le prochain à sauter, ou les suites non AEAD ou encore TLSv1.1. On devrait DÉJÀ être en train de contacter les clients pour assurer la mise-à-jour.
              Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
              1. …in reply to @aeris22
                @pbeyssac @zuzur Tout le monde devrait déjà avoir un plan de migration pour du TLSv1.2 + EECDH+AESGCM:!SHA1 dans 1 mois. On ne sait pas quand la faille peut tomber. Ça peut être dans 10 ans. Ou demain !
                Permalink On twitter.com Twitter logo aeris22’s avatar Mood -2 🙁
                1. …in reply to @aeris22
                  @pbeyssac @zuzur (Et autant dire que si ça sort demain, ça va piquer un peu beaucoup… cryptcheck.fr/suite/EECDH+AESGCM On sait déjà que CBC pue franchement du cul depuis plus d’un an. blog.cloudflare.com/padding-oracles-and-the-decline-of-cbc-mode-ciphersuites/ On attend juste l’attaque « praticable » pour sortir les tickets de bug :D
                  Permalink On twitter.com Twitter logo aeris22’s avatar ❤️ 1 Favorite Mood -3 🙁