2Sep
Es ist schwer, all diese Internetkatastrophen in ihren Köpfen zu erfassen, und gerade als wir dachten, das Internet sei wieder sicher, nachdem Heartbleed und Shellshock gedroht hatten, "das Leben so zu beenden, wie wir es kennen", kommt POODLE.
Lassen Sie sich nicht zu sehr aufregen, weil es nicht so bedrohlich ist, wie es sich anhört. Die Wahrheit ist, dass es ein Problem ist, mit dem man sich befassen muss, aber es gibt einfache Schritte, die man ergreifen kann, um sich selbst zu schützen.
Was ist POODLE?
Beginnen wir im Erdgeschoss. Was ist POODLE?Zunächst einmal steht es für " Padding Oracle On Downgraded Legacy Encryption ". Das Sicherheitsproblem ist genau das, was der Name andeutet, ein Protokoll-Downgrade, das Exploits für eine veraltete Form der Verschlüsselung erlaubt. Das Thema wurde in diesem Monat weltweit bekannt, als Google ein Paper mit dem Titel "This POODLE Bites: Ausnutzen des SSL 3.0-Fallbacks" veröffentlichte.
Um dies einfacher zu erklären, kann ein Angreifer, der einen Man-In-The-Middle-Angriff verwendet, die Kontrolle über einen Router an einem öffentlichen Hotspot übernehmen und den Browser zwingen, auf SSL 3.0( ein älteres Protokoll) herunterzustufen, anstatt ihn zu verwendendie viel modernere TLS( Transport Layer Security), und dann eine Sicherheitslücke in SSL ausnutzen, um Ihre Browsersitzungen zu entführen. Da dieses Problem im Protokoll auftritt, ist alles betroffen, das SSL verwendet.
Solange sowohl der Server als auch der Client( Webbrowser) SSL 3.0 unterstützen, kann der Angreifer eine Herabstufung des Protokolls erzwingen. Selbst wenn Ihr Browser versucht, TLS zu verwenden, wird er daher gezwungen, stattdessen SSL zu verwenden. Die einzige Antwort ist, dass beide Seiten oder beide Seiten die Unterstützung für SSL entfernen, wodurch die Möglichkeit eines Downgrades entfällt.
Wenn Sie hauptsächlich von zu Hause aus surfen und keine öffentlichen Hotspots verwenden, ist das Schadenspotenzial ziemlich gering und Sie können die einfachen Schritte ausführen, die später in diesem Artikel beschrieben werden, um sich selbst zu schützen. Wenn Sie häufig einen öffentlichen Hotspot verwenden, ist es vielleicht an der Zeit, über die Verwendung eines VPN nachzudenken.
Wie können wir das Problem lösen?
Da es keine Möglichkeit gibt, die Probleme mit SSL zu lösen, besteht die einzige Lösung für Browserhersteller und Webserver darin, alles zu aktualisieren, um die Unterstützung für SSL zu entfernen und nur TLS-Verschlüsselung zu benötigen.
Google und Firefox haben bereits angekündigt, dass sie den Support in Zukunft entfernen werden. Während wir( noch) nicht dasselbe von Microsoft gehört haben, ist es für Endbenutzer sehr einfach, SSL 3.0 in IE zu deaktivieren. Die meisten großen Web-Unternehmen entfernen die Unterstützung für SSL, nachdem dieses Problem ans Licht gekommen ist, aber es wird eine Weile dauern, bis alle das tun.
Als Verbraucher können Sie die Unterstützung für SSL mit einer der folgenden Methoden aus Ihrem Browser entfernen. Wenn Sie Firefox oder Google Chrome verwenden und nicht ständig Hotspots verwenden, können Sie darauf warten, dass sie den Browser aktualisieren. Oder Sie können sicherstellen, dass Sie das Problem selbst behoben haben.
Deaktivieren von SSL 3.0 in Mozilla Firefox
Wenn Sie ein Mozilla Firefox-Benutzer sind, werden Ihre SSL 3.0-Bedenken am 25. November 2014, wenn Fireox 34 veröffentlicht wird, ins Bett gebracht. Das einzige Problem dabei ist, dass es noch nicht November ist und Sie jetzt handeln müssen, um sich zu schützen.Öffnen Sie zunächst Ihren Firefox-Browser und navigieren Sie zur Downloadseite der SSL-Versionskontrolle in Firefox.
Nach erfolgreicher Installation können Sie in der Navigationsleiste "about: addons" eingeben und die Erweiterung "SSL Version Control" auswählen. Sie können auf "Optionen" klicken, um die Einstellungen für die Erweiterung anzuzeigen. Stellen Sie sicher, dass die "Automatischen Updates" aktiviert sind und die "Minimum SSL Version" auf "TLS 1.0" eingestellt ist.
Nachdem Firefox 34 veröffentlicht wurde, können Sie die Erweiterung deaktivieren oder deinstallieren.
Deaktivieren von SSL 3.0 in Google Chrome
Wenn Sie ein Google Chrome-Nutzer sind, können Sie sicher sein, dass SSL 3.0 in den kommenden Monaten deaktiviert wird, obwohl noch kein Datum festgelegt wurde. Wenn Sie sich jetzt schützen möchten, können Sie dies in wenigen einfachen Schritten tun. Gehen Sie einfach zu Ihrem Google Chrome-Desktop-Symbol und klicken Sie mit der rechten Maustaste darauf. Wählen Sie dann "Eigenschaften" am unteren Rand des Popup-Menüs.
Im Fenster "Eigenschaften" sehen Sie ein Texteingabefeld mit der Bezeichnung "Ziel". Klicken Sie einfach in dieses Feld und drücken Sie die Taste "Beenden" auf Ihrer Tastatur. Als nächstes drücken Sie die "Leertaste" und kopieren und fügen Sie diesen Text an das Ende.
--ssl-version-min = tls1Drücken Sie auf "Übernehmen", klicken Sie im Popup-Fenster auf "Weiter" und drücken Sie "OK".
Jetzt lehnt Ihr Browser SSL 3.0-Zertifikate automatisch ab und akzeptiert nur TLS 1.0 und höher. Wenn Sie Chrome über eine andere Verknüpfung auf Ihrem Computer starten, wird dieses Flag nicht verwendet.
Deaktivieren von SSL 3.0 in Internet Explorer
Microsoft hat noch nicht angekündigt, wann sie das SSL 3.0-Problem beheben möchten. Daher ist es am besten, sie selbst zu deaktivieren, indem Sie das "Start" -Menü öffnen und "Internetoptionen" eingebenKlicken Sie auf die Registerkarte "Erweitert" und scrollen Sie nach unten zum Abschnitt "Sicherheit", bis Sie die SSL- und TLS-Optionen sehen. Deaktivieren Sie dann die Option für SSL 3.0 verwenden und aktivieren Sie stattdessen TLS.
Auf diese Weise können Sie sicher sein, dass Ihre Internetbrowser sicher vor möglichen POODLE-Angriffen sind.
Bildnachweis: Karen on Flickr