2Sep
זה קשה לעטוף את דעתנו סביב כל אלה קטסטרופה באינטרנט כפי שהם מתרחשים, בדיוק כפי שחשבנו האינטרנט היה מאובטח שוב לאחר Heartbleed ו Shellshock איים "לסיים את החיים כפי שאנחנו מכירים את זה", יוצא פודל.
אל תתעסקו יותר מדי כי זה לא מאיים כמו שזה נשמע.האמת היא שזה עניין להיות מודאג, אבל יש צעדים פשוטים שאתה יכול לנקוט כדי להגן על עצמך.
מה זה פודל?
נתחיל בקומת הקרקע.מה זה פודל?ראשית, זה מייצג " ריפוד אורקל על מורשת מורשת הצפנה ." בעיית האבטחה היא בדיוק מה שהשם מרמז, שדרוג לאחור פרוטוקול המאפשר ניצול על צורה מיושנת של הצפנה.הנושא הגיע תשומת לב של העולם החודש, כאשר גוגל פרסמה נייר בשם "זה Poodle עקיצות: ניצול SSL 3.0 Fallback".
כדי להסביר זאת במונחים פשוטים יותר, אם תוקף המשתמש בהתקפה מסוג Man-In-the-Middle יכול להשתלט על נתב בנקודה חמה ציבורית, הם עלולים לאלץ את הדפדפן שלך לשדרג לאחור ל- SSL 3.0( פרוטוקול ישן יותר) במקום להשתמשהרבה יותר מודרני TLS( Transport Layer Security), ולאחר מכן לנצל חור אבטחה ב- SSL לחטוף את הפעלות הדפדפן שלך.מאחר שבעיה זו נמצאת בפרוטוקול, כל דבר שמשתמש ב- SSL מושפע.
כל עוד השרת והלקוח( דפדפן האינטרנט) תומכים ב- SSL 3.0, התוקף עלול לאלץ את השדרוג בפרוטוקול, כך שגם אם הדפדפן שלך מנסה להשתמש ב- TLS, בסופו של דבר הוא נאלץ להשתמש ב- SSL במקום זאת.התשובה היחידה היא עבור כל צד או שני הצדדים כדי להסיר תמיכה SSL, הסרת האפשרות להיות מדורגים.
אם אתה גולש בעיקר מהבית ואינך משתמש בנקודות חמות ציבוריות, פוטנציאל הנזק הוא די נמוך, ואתה יכול פשוט לקחת את הצעדים הפשוטים המתוארים בהמשך המאמר כדי להגן על עצמך.אם אתה משתמש לעתים קרובות בנקודה חמה ציבורית, ייתכן שהגיע הזמן לחשוב על שימוש ב- VPN.כיצד ניתן לפתור את הבעיה?
מכיוון שאין דרך לפתור את הבעיות עם SSL, הפתרון היחיד הוא עבור יצרני דפדפן ושרתי אינטרנט לשדרג הכל כדי להסיר תמיכה ב- SSL ודורש רק הצפנת TLS.גוגל ו - Firefox כבר הודיעו כי הם יהיו הסרת תמיכה בעתיד, בעוד שאנחנו לא( עדיין) שמעו אותו מאת מיקרוסופט, זה מאוד קל כמו משתמש הקצה להשבית SSL 3.0 ב- IE.רוב חברות האינטרנט הגדולות מסירות תמיכה ב- SSL אחרי בעיה זו באה לידי ביטוי, אבל זה ייקח קצת זמן בשביל כולם לעשות זאת.
כצרכן, תוכל להסיר תמיכה ב- SSL מהדפדפן שלך באמצעות אחת מהשיטות המפורטות למטה - או אם אתה משתמש ב- Firefox או ב- Google Chrome ואינך משתמש בנקודות חמות כל הזמן, תוכל להמתין עד שיעדכנו את הדפדפן.או שאתה יכול לוודא שתיקנת את הבעיה בעצמך.
השבתת SSL 3.0 ב- Mozilla Firefox
אם אתה משתמש ב- Mozilla Firefox, בעיות ה- SSL 3.0 שלך יוכנסו למיטה ב -25 בנובמבר 2014, כאשר פיירקס 34 ישתחרר.הבעיה היחידה עם זה היא שזה עדיין לא נובמבר ואתה צריך לנקוט פעולה כדי להגן על עצמך עכשיו.התחל על ידי פתיחת דפדפן פיירפוקס וניווט אל דף בקרת SSL להוריד דף ההורדה ב- Firefox.
כאשר הוא הותקן בהצלחה, תוכל להזין "about: addons" בסרגל הניווט ולבחור את "סיומת גרסת SSL".אתה יכול ללחוץ על "אפשרויות" כדי לראות את ההגדרות של התוסף.ודא שה"עדכונים האוטומטיים "מופעלים וכי" גרסת ה- SSL המינימלית "מוגדרת ל-" TLS 1.0 "
לאחר פרסום Firefox 34, תוכל להרגיש חופשי להשבית את התוסף או להסיר אותו.
השבתת SSL 3.0 ב- Google Chrome
אם אתה משתמש ב- Google Chrome, תוכל להיות סמוך ובטוח כי SSL 3.0 יושבת בחודשים הקרובים, למרות שעדיין לא קבעה תאריך.אם אתה רוצה להגן על עצמך עכשיו, זה יכול להיעשות בכמה צעדים פשוטים.כל שעליך לעשות הוא לעבור אל סמל שולחן העבודה של Google Chrome שלך ולחץ לחיצה ימנית על זה ואז לבחור "מאפיינים" בחלק התחתון של התפריט המוקפץ.
בחלון "מאפיינים" תופיע תיבת קלט טקסט שאומרת "Target". פשוט לחץ על תיבה זו ולחץ על "סיום" על המקלדת.לאחר מכן, לחץ על מקש הרווח והעתק והדבק טקסט זה על הסוף.
--ssl-version-min = tls1לחצו על "Apply" ולאחר מכן לחצו על "Continue" בחלון המוקפץ ולאחר מכן לחצו על "אישור".
כעת הדפדפן שלך ידחה באופן אוטומטי אישורי SSL 3.0 ורק יקבל את TLS 1.0 ומעלה.כדאי לציין שאם תפעיל את Chrome דרך קיצור דרך אחר במחשב, הוא לא ישתמש בדגל זה.
השבתת SSL 3.0 ב- Internet Explorer
מיקרוסופט עדיין לא הודיעה כאשר הם מתכננים לטפל בבעיית SSL 3.0 ולכן עדיף להשבית אותה בעצמך על ידי פתיחת תפריט "התחל" והקלדת "אפשרויות אינטרנט".
עבור אלהכרטיסייה 'מתקדם' וגלול מטה לקטע 'אבטחה' עד שתראה את אפשרויות SSL ו- TLS ולאחר מכן בטל את הסימון של האפשרות לשימוש ב- SSL 3.0 ולאפשר TLS במקום זאת.
בדרך זו אתה יכול להיות בטוח כי דפדפני האינטרנט שלך מאובטח מפני כל התקפות POODLE פוטנציאליים.
אשראי תמונה: קרן על Flickr