2Sep

Mikä on POODLE-haavoittuvuus ja miten voit suojata itsesi?

On vaikea kierrättää mieltämme kaikkiin näihin Internet-katastrofeihin, kun ne ilmenevät, ja aivan kuten ajattelimme, että Internet oli jälleen turvallinen, kun Heartbleed ja Shellshock uhkasivat "lopettaa elämän, kun tiedämme sen", ulos tulee POODLE.

Älkää liikaa työstetty, koska se ei ole yhtä uhkaava kuin se kuulostaa. Totuus on, että asia on huolestuttava, mutta on olemassa yksinkertaisia ​​toimenpiteitä, joita voitte tehdä suojatakseen itseäsi.

Mikä on POODLE?

Aloitetaan pohjakerroksessa. Mikä on POODLE?Ensinnäkin, se tarkoittaa " Padding Oracle Downgraded Legacy Encryption ". Tietoturvaongelma on juuri se, mitä nimi ehdottaa, protokollan alennus, joka mahdollistaa hyödyntämisen vanhentuneessa salaustyypissä.Kysymys tuli maailman huomion tähän kuukauteen, kun Google julkaisi paperin nimeltään "Tämä POODLE Bites: SSL 3.0 Fallbackin hyödyntäminen".

Jos yksinkertaisempaa, jos hyökkääjä, joka käyttää Man-In-The-Middle-hyökkäystä, voi ohjata reitittimen julkisella hotspotilla, he voivat pakottaa selaimesi siirtymään SSL 3.0: een( vanhempi protokolla)paljon nykyaikaisempaa TLS( Transport Layer Security) -tekniikkaa ja sitten hyödyntää tietoturva-aukkoa SSL: ssä kaappaamaan selaimen istunnot. Koska tämä ongelma on protokolla, vaikuttaa kaikki SSL: tä käyttävät.

Niin kauan kuin sekä palvelin että asiakas( selain) tukevat SSL 3.0: ta, hyökkääjä voi pakottaa protokollaa alaspäin, joten selaimesi yrittää käyttää TLS: ää, mutta joutuu käyttämään SSL: ää.Ainoa vastaus on kummallekin puolelle tai molemmille osapuolille, jotta SSL: n tuki poistettaisiin, jolloin mahdollisuus alennetaan.

Jos käytät ensisijaisesti kotia ja älä käytä julkisia hotspotteja, vahinko voi olla melko alhainen, ja voit vain ottaa artikkelissa myöhemmin kuvatut helpot vaiheet suojellaksesi itseäsi. Jos käytät usein julkista hotspotia, saattaa olla aika ajatella VPN: n käyttämistä.

Miten voimme ratkaista ongelman?

Koska SSL-ongelmien ratkaiseminen ei ole mahdollista, ainoa ratkaisu on selaimen päättäjille ja web-palvelimille päivittää kaikki SSL-tuen tuki ja vaatii vain TLS-salausta.

Google ja Firefox ovat jo ilmoittaneet, että ne poistavat tukea tulevaisuudessa, ja vaikka emme ole( vielä) kuulleet samaa Microsoftilta, on erittäin helppoa, kun loppukäyttäjä poistaa SSL 3.0: n käytöstä IE: ssä.Useimmat suurista web-yrityksistä poistavat SSL: n tuen, kun tämä ongelma tuli esiin, mutta kestää kauan.

Kuluttajaksi voit poistaa SSL: n tuen selaimestasi jollakin seuraavista tavoista - tai jos käytät Firefoxia tai Google Chromea, ja et käytä koko ajan hotspotia, voit odottaa niiden päivittämistä selaimella. Tai voit varmistaa, että olet korjannut ongelman itse.

SSL 3.0: n poistaminen käytöstä Mozilla Firefox

: ssä Jos olet Mozilla Firefox-käyttäjä, SSL 3.0: n huolet laitetaan nukkumaan 25. marraskuuta 2014, kun Fireox 34 vapautetaan. Yksi ongelma tästä on, että se ei ole vielä marraskuussa, ja sinun on ryhdyttävä toimiin suojellakseen itseäsi nyt. Aloita avaamalla Firefox-selain ja siirtymällä Firefoxin SSL Version Controlin lataussivulle.

Kun se on asennettu onnistuneesti, voit syöttää "about: addons" navigointipalkista ja valita "SSL Version Control" -laajennuksen. Voit tarkastella laajennuksen asetuksia napsauttamalla "Asetukset".Varmista, että "Automaattiset päivitykset" ovat päällä ja että "Minimum SSL Version" -asetus on "TLS 1.0".

Kun Firefox 34 on vapautettu, voit vapaasti poistaa laajennuksen tai poistaa sen.

SSL 3.0: n poistaminen käytöstä Google Chrome

: ssä Jos olet Google Chrome-käyttäjä, voit olla varma, että SSL 3.0 poistetaan käytöstä lähikuukausina, vaikka ne eivät vielä ole asettaneet päivämäärää.Jos haluat suojata itsesi nyt, se voidaan tehdä muutamissa yksinkertaisissa vaiheissa. Siirry suoraan Google Chromen työpöydän kuvakkeeseen ja napsauta sitä hiiren kakkospainikkeella ja valitse ponnahdusvalikon alareunasta "Ominaisuudet".

"Ominaisuudet" -ikkunassa näet tekstinsyöttökentän, joka sanoo "Kohde". Napsauta tätä ruutua ja paina näppäimistön "Lopeta" -painiketta. Seuraavaksi paina "välilyöntiä" ja kopioi ja liitä tämä teksti loppuun.

--ssl-version-min = tls1

Paina "Käytä" ja valitse sitten "Jatka" ponnahdusikkunassa ja paina sitten "OK".

Nyt selaimesi hylkää automaattisesti SSL 3.0 -todistukset ja hyväksyy vain TLS 1.0: n ja uudemman. On syytä huomata, että jos käynnistät Chromen jonkin muun tietokoneesi pikakuvakkeen kautta, se ei käytä tätä lippua.

SSL 3.0: n poistaminen käytöstä Internet Explorerissa

Microsoft ei ole vielä ilmoittanut, kun se aikoo käsitellä SSL 3.0 -asiakirjaa, joten se on hyvä poistaa käytöstä avaamalla Käynnistä-valikon ja kirjoittamalla Internet-asetukset.

Siirry kohtaanNapsauta "Lisäasetukset" -välilehteä ja selaa alaspäin "Suojaus" -osioksi, kunnes näet SSL- ja TLS-asetukset ja poista sitten Käytä SSL 3.0 -toimintoa ja ota TLS käyttöön.

Näin voit olla varma, että Internet-selaimet ovat kaikki mahdolliset mahdolliset POODLE-hyökkäykset.

Kuvalehti: Karen on Flickr