SóProvas

Questão para resolver em 1 segundo, e ganhar aquele tempo extra numa de interpretação da prova de português:

"Tanto o protocolo TLS quanto o SSL, seu sucessor (...)".

O SSL veio primeiro e está defasado.

Ademais, o ataque Poodle foi efetivado na versão 3 do SSL [1]

[1] https://en.wikipedia.org/wiki/POODLE

o TLS é o sucessor do SSL e não ao contrário como afirma a questão.

O protocolo SSL e seu sucessor TLS protegem grande parte das comunicações seguras através da internet. Em 14 de outubro de 2014, pesquisadores do Google divulgaram uma vulnerabilidade na versão 3.0 do SSL que permite a execução de um ataque denominado POODLE

O ataque permite o roubo de cookies em conexões HTTPS, o que permite um atacante logar em sites como se fosse a vítima.

Foi dada. TLS sucedeu o SSL. A vulnerabilidade para tal ataque é no SSL.

É só pensar na ordem alfabética para lembrar quem sucedeu quem. O T vem depois do S. Logo, TLS é o sucessor do SSL.

Esse ataque Poodle deve ser perigoso hein? kkkk

SSL é mais antigo que o TLS

SSL tem mais vulnerabilidades, como o citado na questão

TLS -> Total segurança

Complementando..

O ataque POODLE é uma exploração man-in-the-middle que tira proveito do fallback do SSL 3.0 dos clientes de software de segurança e Internet. Se os invasores explorarem com êxito essa vulnerabilidade, em média, eles precisam fazer apenas 256 solicitações SSL 3.0 para revelar um byte de mensagens criptografadas.

Bons estudos!

The POODLE attack (which stands for " On Downgraded Legacy Encryption") is a exploit which takes advantage of Internet and security software clients' fallback to . If attackers successfully exploit this vulnerability, on average, they only need to make 256 SSL 3.0 requests to reveal one byte of encrypted messages. Bodo Möller, Thai Duong and Krzysztof Kotowicz from the Security Team discovered this vulnerability; they disclosed the vulnerability publicly on October 14, 2014 (despite the paper being dated "September 2014" ). On December 8, 2014 a variation of the POODLE vulnerability that affected was announced.

In cryptography, a padding oracle attack is an attack which uses the validation of a cryptographic message to decrypt the ciphertext. In cryptography, variable-length plaintext messages often have to be padded (expanded) to be compatible with the underlying . The attack relies on having a "padding oracle" who freely responds to queries about whether a message is correctly padded or not. Padding oracle attacks are mostly associated with used within . Padding modes for asymmetric algorithms such as may also be vulnerable to padding oracle attacks.

In , padding is any of a number of distinct practices which all include adding data to the beginning, middle, or end of a message prior to encryption. In classical cryptography, padding may include adding nonsense phrases to a message to obscure the fact that many messages end in predictable ways, e.g. sincerely yours.

Cryptographic primitives are well-established, low-level algorithms that are frequently used to build for systems. These routines include, but are not limited to, and .

To mitigate the POODLE attack, one approach is to completely disable SSL 3.0 on the client side and the server side. However, some old clients and servers do not support TLS 1.0 and above. Thus, the authors of the paper on POODLE attacks also encourage browser and server implementation of TLS_FALLBACK_SCSV, which will make downgrade attacks impossible.

Another mitigation is to implement "anti-POODLE record splitting". It splits the records into several parts and ensures none of them can be attacked. However the problem of the splitting is that, though valid according to the specification, it may also cause compatibility issues due to problems in server-side implementations.

A new variant of the original POODLE attack was announced on December 8, 2014. This attack exploits implementation flaws of in the TLS 1.0 - 1.2 protocols. Even though TLS specifications require servers to check the padding, some implementations fail to validate it properly, which makes some servers vulnerable to POODLE even if they disable SSL 3.0. SSL

"APESAR" Essa foi no NISHIMURA

Nessa questão já parei quando disse que o SSL é o sucessor do TLS, pois na verdade é ao contrário.

1º (SSL) --> Versões: 1.0, 2.0, 3.0

2º (TLS) --> Versões: 1.0, 1.1, 1.2 a mais utilizada atualmente.

Ataque poodle --> É um ataque ''homem do meio''.

Perseverança!

Eu memorizei assim:

Acesso remoto --> Telnet e SSH (o T é inseguro e o S é seguro)

Criptografia --> SSL e TLS (o S é inseguro e o T é seguro)

Se vc decora um, não vai esquecer do outro.

Bons estudos!

O ataque tem o nome de Padding Oracle On Downgraded Legacy Encryption, ou apenas POODLE. O ataque permite o roubo de cookies em conexões HTTPS, o que permite um atacante logar em sites como se fosse a vítima.

O POODLE se aplica somente no protocolo SSL 3.0, que foi lançado em 1996. O SSL 3.0 já se tornou obsoleto quando o TLS 1.0 foi lançado em 1999, e o protocolo mais novo é o TLS 1.2 (2008).

fonte: https://kryptus.com/ataque-poodle-quebrando-o-tls-com-ssl-3/

Ainda bem que o ataque foi de POODLE se fosse de HOTWEILLER seria mais grave.

Na verdade essa descoberta foi em cima do protocolo SSL e não do TLS.

O poodle é capaz de atacar o SSL. Por isso, o SSL está defasado. Além de ser mais antigo e antecessor ao TLS.

O TLS veio depois do SSL.

quando eu vi a informação..."seu sucessor"...(ai tem coisa menino), a banca não precisava desse termo para atingir o objetivo da questão, (sendo ela verdadeira)...dessa vez não ceeeespe!!

no alfabeto o "T" vem depois do "S".... bestinha, mas nunca mais errei esse tipo de questão!

 TLS foi baseado na versão 3.0 do protocolo SSL.