Le 20/10/2014 1:20, Stephane Martin a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, <1% des transactions en
SSLv3
- côté téléservices administration, en gros 3%.
Ca m'étonne pas... :)
La masse des connexions en SSLv3 vient d’IE6 sous XP et de clients en Oracle Java 6. A partir de XP SP3 on peut faire du TLS 1.0 (IE8). On trouve parfois aussi des clients de Web Services codés avec de vieilles technos (Delphi 2010 par exemple).
Bref avant de désactiver, vérifier avec ses clients.
Effectivement, mais bon XP n'est plus supporté par m$ depuis début 2014. S'amuser a encore le supporter c'est un peu aider les botnet a exister aussi.
Après rien n'empêche de mettre une page : "votre OS est trop vieux et trop dangereux, veuillez upgrader IE6 a IE8 ou utiliser firefox, chrome ou chrominum".
Dans des cas sites public ouvert sur 0.0.0.0/0 avoir une certaine sécurité dans les protocole https est bon pour faire avancer les choses.
Laisser les trous de sécu pour juste garder la compat IE6.... C'est un corresponds franchement a une non évolution des techno... Sinon dans ce cas là il faut laisser aussi les sites gopher:// ?
/Xavier