Le chiffrement faible n’est plus pris en charge par Node.js 4

Node.js 4.0.0 est sorti il y a deux jours et à l’instar de toute mise à jour importante d’une application quelconque, cette version propose des modifications de taille.

Node est resté pendant de nombreuses années à la version 0.x. Il n’était pas considéré comme assez stable pour passer à la version 1.x et pour cette raison, la communauté a créé la fourche io.js sur la base de son code. Cette fourche a fait l’objet de nombreuses améliorations, indépendamment de Node.js, et est arrivée à la version 3.3.0.

Désormais, les deux projets ont décidé d’unir le code dans la version Node.js 4.0.0 et la communauté Node a pu découvrir de nombreuses nouvelles fonctions, uniques pour la plupart ou très différentes de ce que l’on pouvait trouver dans l’ancienne version 0.12.x

Il y a deux modifications à signaler en matière de sécurité qui auront un impact sur la manière dont vous codez un projet dans Node.js.

Tout d’abord, les développeurs de Node sont parvenus à la même conclusion que certains développeurs de navigateurs et ingénieurs d’IETF.

« RC4 est désormais considéré comme dangereux et la liste des chiffres utilisés par défaut pour les serveurs TLS a été supprimée » ont déclaré les développeurs de Node. « Lorsque vous lancerez un nouveau serveur TLS, il faudra utiliser l’option de définition d’une liste alternative.

La deuxième modification de taille concerne SSL : avec Node 4, SSLv2 et SSLv3 sont désactivés lors de la compilation.

SSLv2 est désactivé car il est dépassé et qu’il « possède depuis près de 20 ans une réputation de protocole compromis » tandis que SSLv3 a été désactivé car il est sensible aux attaques par réduction du chiffrement.

Source: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *