2Sep
Nehéz elkísérni az elméjüket az összes ilyen internetes katasztrófa körül, ahogyan előfordulnak, és ahogy azt gondoltuk, hogy az Internet újra biztonságban van, miután Heartbleed és Shellshock azzal fenyegetőzött, hogy "véget vessünk az életnek, ahogy tudjuk", ki lesz POODLE.
Ne túl dolgozzon fel, mert nem olyan fenyegető, mint amilyennek hangzik. Az igazság az, hogy egy kérdést kell aggasztani, de vannak egyszerű lépések teheti megvédeni magát.
Mi az a POODLE?
Kezdjük a földszinten. Mi az a POODLE?Először is, az " Padding Oracle Downgraded Legacy Encryption " kifejezés alatt áll. A biztonsági probléma pontosan az, amit a név sugall, egy protokoll-downgrade, amely lehetővé teszi a titkosítás elavult formában történő kizsákmányolását. A probléma ebben a hónapban jött a világ figyelmébe, amikor a Google megjelent egy, az "Ez a POODLE Bites: Az SSL 3.0 visszaszorítás kihasználása" című lapot.
Egyszerűbben fogalmazva, ha egy támadó, aki man-in-the-middle támadást használ, átveheti egy útválasztó irányítását egy nyilvános hotspoton, akkor kényszerítheti böngészőjét az SSL 3.0-ra( régebbi protokollra)a sokkal korszerűbb TLS-t( Transport Layer Security), majd kihasználja az SSL-ben lévő biztonsági lyukat, hogy eltérítse a böngésző munkameneteket. Mivel ez a probléma a protokollban van, bármi, ami SSL-t használ, érinti.
Mindaddig, amíg mind a kiszolgáló, mind az ügyfél( webböngésző) támogatja az SSL 3.0-at, a támadó visszaléphet a protokollban, így ha a böngésző megpróbálja használni a TLS-et, akkor kénytelen SSL-t használni. Az egyetlen válasz az egyik oldalra vagy mindkét fél számára az SSL támogatásának eltávolítására, kizárva a visszaminősítés lehetőségét.
Ha elsősorban az otthoni böngészést végzi, és nem használja a nyilvános hotspotokat, a károk lehetősége meglehetősen alacsony, és egyszerűen csak megteheti a cikk későbbi lépéseit, hogy megvédje magát. Ha gyakran használ közcélú hotspotot, talán ideje lenne gondolni a VPN használatáról.
Hogyan tudjuk megoldani a problémát?
Mivel az SSL-vel kapcsolatos problémák megoldására nincs mód, az egyetlen megoldás a böngészők és a webszerverek számára, hogy mindent frissítsenek az SSL támogatásának eltávolítására, és csak TLS titkosítást igényelnek.
A Google és a Firefox már bejelentették, hogy a jövőben eltávolítják a támogatást, és miközben még nem( még) hallottuk ugyanezt a Microsoft-tól, rendkívül egyszerű, mivel a végfelhasználók letilthatják az SSL 3.0-at IE-ben. A nagyvállalatok nagy része eltávolítja az SSL támogatását, miután ez a probléma felbukkant, de mindenkinek szüksége lesz erre.
Fogyasztóként eltávolíthatja az SSL támogatását a böngészőből az alábbiakban ismertetett módszerek valamelyikével - vagy ha Firefoxot vagy Google Chrome-ot használ, és állandóan nem használja a hotspotokat, várhat, hogy frissítsék a böngészőt. Vagy megbizonyosodhat róla, hogy maga a problémát megoldotta.
Az SSL 3.0 letiltása Mozilla Firefoxban
Ha Ön Mozilla Firefox-felhasználó, az SSL 3.0 aggodalmait 2014. november 25-én bedobják a Fireox 34 megjelenésekor. Az egyetlen probléma ezzel az, hogy még nem november, és meg kell tenni a lépéseket, hogy megvédje magát most. Kezdje a Firefox böngésző megnyitásával és navigáljon az SSL verzióvezérlő letöltési oldalához a Firefoxban.
A sikeres telepítés után beírhatja a "about: addons" parancsot a navigációs sávba, és kiválaszthatja az "SSL verzióvezérlés" bővítményt. A bővítmény beállításainak megtekintéséhez kattintson a "Beállítások" gombra. Győződjön meg róla, hogy az "Automatikus frissítések" be van kapcsolva, és a "Minimum SSL verzió" beállítása "TLS 1.0"
A Firefox 34 kiadása után szabadon tilthatja le a bővítményt vagy eltávolíthatja azt.
Az SSL 3.0 letiltása a Google Chrome-ban
Ha Ön Google Chrome-felhasználó, biztos lehet benne, hogy az SSL 3.0 le lesz tiltva a következő hónapokban, bár még nem állítottak be dátumot. Ha most védeni szeretné magát, akkor néhány egyszerű lépésben elvégezhető.Egyszerűen keresse meg a Google Chrome asztali ikonját, és jobb gombbal kattintson rá, majd válassza a "Tulajdonságok" lehetőséget a felbukkanó menü alján.
A "Tulajdonságok" ablakban egy szövegbeviteli mező jelenik meg, amely "Cél" -ot mond. Csak kattintson erre a mezőbe, és nyomja meg a billentyűzet "Vége" gombot. Ezután nyomja meg a "Szóköz" gombot, és másolja be és illessze be ezt a szöveget a végére.
- ssl-version-min = tls1Nyomja meg az "Alkalmaz" gombot, majd kattintson a "Folytatás" gombra a felbukkanó ablakban, majd nyomja meg az "OK" gombot.
Most a böngészője automatikusan elutasítja az SSL 3.0 tanúsítványokat, és csak a TLS 1.0 és újabb verziókat fogadja el.Érdemes megjegyezni, hogy ha elindítja a Chrome-ot a számítógépen található bármely más parancsikonon keresztül, akkor nem fogja használni ezt a zászlót.
Az SSL 3.0 letiltása az Internet Explorer programban
A Microsoft még nem jelentette be, amikor az SSL 3.0 kiadását tervezi kezelni, ezért a legjobb módja annak, hogy letiltsa a "Start" menü megnyitásával és az "Internetbeállítások" beírásával.
Ugrás a"Speciális" lapot, és görgessen le a "Biztonság" szakaszig, amíg meg nem jelenik az SSL és TLS beállítások, majd jelölje be az SSL 3.0 használata lehetőséget, és helyette a TLS engedélyezését engedélyezze.
Így biztos lehet benne, hogy az internet böngészők minden lehetséges POODLE támadástól védenek.
képarány: Karen a Flickr
-en