Disattivata in Node.js 4 la crittografia “debole”

Due giorni fa è stato rilasciato Node.js 4.0.0; come in genere avviene quando si effettuano importanti aggiornamenti per qualsiasi software, anche la nuova versione del noto framework presenta una serie di profondi cambiamenti.

Per molti anni di seguito la piattaforma Node è rimasta bloccata alla versione 0.x, mai considerata abbastanza stabile per poter passare ad una release 1.x; per questo motivo, la community, sulla base del codice esistente, ha realizzato un fork del software, creando io.js. Il fork è stato poi migliorato in maniera considerevole, indipendentemente da Node.js, ed ha così raggiunto la versione 3.3.0.

Ora che i due distinti progetti software hanno deciso di riunire il loro codice con la release della versione Node.js 4.0.0, la community di Node ha assistito all’introduzione di numerose nuove funzionalità nel framework in questione, la maggior parte delle quali presenta un carattere di unicità, oppure si differenzia notevolmente dalle funzionalità presenti nella vecchia versione 0.12.x.

Per quel che riguarda la sicurezza, si registrano due significativi cambiamenti, i quali vanno ad interessare l’abituale routine di codifica del progetto in Node.js.

In primo luogo, gli sviluppatori di Node sono giunti alla medesima conclusione alla quale sono pervenuti alcuni importanti produttori di browser e vari ingegneri IETF.

“L’algoritmo di cifratura RC4 non viene ormai ritenuto sicuro, ed è stato pertanto rimosso dall’elenco delle codifiche utilizzabili di default per i server TLS, – affermano gli sviluppatori della piattaforma Node. – Utilizzate l’opzione relativa alla definizione di un elenco alternativo, quando avviate un nuovo server TLS”.

Il secondo significativo cambiamento riguarda il protocollo SSL (Secure Sockets Layer); in effetti, proprio a partire da Node 4, sono stati disattivati, già in fase di compilazione, SSLv2 e SSLv3.
Il protocollo SSLv2 è stato disabilitato per il fatto di essere ormai obsoleto e “riconosciuto come vulnerabile da circa 20 anni a questa parte”, mentre il protocollo SSLv3 è stato disattivato in quanto suscettibile agli attacchi downgrade.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *