2Sep
Zihnimizi meydana gelen bu İnternet felaketlerinin etrafına sarmak zordur ve tıpkı Heartbleed ve Shellshock'un "bildiğimiz kadar yaşamı sona erdirmek" için tehdit ettikten sonra İnternet'in güvende olduğunu düşündüğümüz gibi, POOD olur.
Göründüğü kadar tehlikeliyici olmadığı için çok fazla ısınmayın. Gerçek şu ki, bununla ilgili bir konu var, ancak kendinizi korumak için atmanız gereken basit adımlar var.
TUTUCU Nedir?
Zemin katta başlayalım. TUTUCU Nedir?Öncelikle, ", Oracle On Grades Reverse Legacy Encryption 'yi dolduruyor" anlamına geliyor. Güvenlik sorunu, tam da adından da anlaşılacağı gibi, modası geçmiş bir şifreleme biçiminde patlatmalara izin veren bir protokol indirgemesi anlamına geliyor. Konu, bu ay Google'ın "Bu TUTUCU Bıçakları: SSL 3.0 Fallback'i Kullanma" adlı bir kağıt yayınladığında dünyanın ilgisini çekti.
Bunu basit terimlerle açıklamak için, bir Man-In-Middle saldırısı kullanan bir saldırgan bir yönlendiricinin denetimini halka açık bir hotspot'ta ele geçirirse, tarayıcınızı kullanarak yerine SSL 3.0'a( eski bir protokol) indirgemek zorunda bırakabilirlerçok daha modern TLS'yi( Aktarım Katmanı Güvenliği) ve daha sonra tarayıcı oturumlarınızı kaçırmak için SSL'deki bir güvenlik boşluğunu kullanın. Bu sorun protokolde olduğundan, SSL kullanan herhangi bir şey etkilenir.
Sunucu ve istemci( web tarayıcısı) hem SSL 3.0'ı desteklediği sürece, saldırgan protokolü düşürmeye zorlayabilir; dolayısıyla tarayıcınız TLS'yi kullanmaya çalışsa bile bunun yerine SSL kullanmaya zorlanır. Tek cevap, her iki tarafın da SSL desteğini kaldırması ve bu sunucunun indirgenme olasılığını ortadan kaldırması.
Eğer öncelikli olarak evinizden eve giderseniz ve genel kullanımdaki sıcak noktaları kullanmazsanız, hasarlanma olasılığı oldukça düşüktür ve kendinizi korumak için makalede daha sonra belirtilen kolay adımları atabilirsiniz. Sıklıkla bir ortak erişim noktası kullanırsanız, bir VPN kullanma düşünmenin zamanı gelmiş olabilir.
Sorunu Nasıl Çözebiliriz?
SSL ile sorunları çözmenin bir yolu olmadığı için, tek çözüm, tarayıcı üreticileri ve web sunucuları için SSL desteği kaldırmak için her şeyi yenilemek ve yalnızca TLS şifrelemesini gerektirmektir.
Google ve Firefox gelecekte desteği kaldıracaklarını açıkladı ve aynı şeyi Microsoft'tan duymadık, ancak IE'de SSL 3.0'ı devre dışı bırakmak son kullanıcı olarak son derece kolay. Büyük web şirketlerinin çoğu, bu sorun ortaya çıktıktan sonra SSL desteğini kaldırıyor ancak bunu yapmak herkes için biraz zaman alacak.
Tüketici olarak, aşağıda açıklanan yöntemlerden birini kullanarak tarayıcıdan SSL desteğini kaldırabilirsiniz - veya Firefox veya Google Chrome kullanıyorsanız ve sürekli hotspot'lar kullanmıyorsanız tarayıcıyı güncellemelerini bekleyebilirsiniz. Veya sorunu kendiniz çözdüğünüzden emin olabilirsiniz.
Mozilla Firefox
'de SSL 3.0'u Devre Dışı Bırakma Bir Mozilla Firefox kullanıcısıysanız, SSL 3.0 endişeleriniz 25 Kasım 2014'te Fireox 34 piyasaya çıktığında yatağa yatar. Bunun bir problemi henüz Kasım olmaması ve şimdi kendinizi korumak için harekete geçmeniz gerekiyor.Önce Firefox tarayıcınızı açın ve Firefox'ta SSL Sürüm Kontrolü indirme sayfasına gidin.
Başarıyla kurulduktan sonra, gezinme çubuğuna "about: addons" yazıp "SSL Version Control" uzantısını seçebilirsiniz. Uzantının ayarlarını görmek için "Seçenekler" 'e tıklayabilirsiniz."Otomatik Güncelleştirmeler" in açık olduğundan ve "Minimum SSL Sürümü" nin "TLS 1.0" olarak ayarlandığından emin olun
Firefox 34 piyasaya sürüldükten sonra, uzantıyı devre dışı bırakma veya kaldırma konusunda çekinmeyin.
Google Chrome'da SSL 3.0'ı Devre Dışı Bırakma
Eğer bir Google Chrome kullanıcısıysanız, henüz bir tarih ayarlamamış olmasına karşın, SSL 3.0'ın önümüzdeki aylarda devre dışı kalacağından emin olabilirsiniz. Kendinizi şimdi korumak istiyorsanız, birkaç basit adımda tamamlanabilir. Google Chrome masaüstü simgenize gidin ve üzerine sağ tıklayın, ardından açılır menü altındaki "Özellikler" i seçin.
"Özellikler" penceresinde "Hedef" yazan bir metin girişi kutusu görürsünüz. Bu kutuyu tıklamanız ve klavyenizdeki "Bitir" düğmesine basmanız yeterlidir. Ardından "Boşluk Çubuğuna" basın ve bu metni kopyalayıp sonuna yapıştırın.
--ssl-version-min = tls1Açılan pencerede "Uygula" tuşuna basın ve ardından "Devam Et" düğmesine tıklayın ve ardından "Tamam" düğmesine basın.
Tarayıcınız SSL 3.0 sertifikalarını otomatik olarak reddedecek ve yalnızca TLS 1.0 ve üstünü kabul edecektir. Chrome'u bilgisayarınızdaki başka herhangi bir kısayol aracılığıyla başlatırsanız, bu işareti kullanmaz.
Internet Explorer'da SSL 3.0'yı Devre Dışı Bırakma
Microsoft, SSL 3.0 sorununu çözmeye ne zaman başladıklarını henüz duyurmamıştır, bu nedenle, "Başlat" menüsünü açıp "İnternet Seçenekleri" yazarak devre dışı bırakmanın en iyisi.
SSL ve TLS seçeneklerini görene kadar "Gelişmiş" sekmesine gelin ve "Güvenlik" bölümüne ilerleyin ve ardından SSL 3.0 kullan seçeneğinin işaretini kaldırın ve TLS'yi etkinleştirin.
Bu yolla, İnternet tarayıcılarınızın potansiyel POODLE saldırılarından emin olabileceğinden emin olabilirsiniz.
Resim Kredisi: Karen Flickr
'de