2Sep

Koks yra "POODLE" pažeidžiamumas ir kaip galite apsisaugoti?

Sunku supakuoti savo nuomonę apie visas šias interneto katastrofas, kaip tai įvyksta, ir, kaip mes manome, kad internetas buvo saugus dar kartą po "Heartbleed" ir "Shellshock" grasino "baigti gyvenimą, kaip mes tai žinome", išeina POODLE.

Negalima per daug dirbti, nes tai nėra toks grėsmingas, kaip skamba. Tiesa ta, kad tai yra klausimas, dėl kurio reikia rūpintis, tačiau yra paprastų veiksmų, kuriuos galite imtis, kad apsaugotumėte save.

Kas yra POODLE?

Pradėkime pirmame aukšte. Kas yra POODLE?Visų pirma, tai reiškia " pakrovimas" Oracle "pažemintame" Legacy Encryption "sistemoje ." Saugumo klausimas yra būtent tai, ką nurodo pavadinimas, tai protokolo pakėlimas, leidžiantis išnaudoti pasenusią šifravimo formą.Šis klausimas atkreipė dėmesį į pasaulio dėmesį šį mėnesį, kai "Google" paskelbė straipsnį "Šis POODLE Bites: išnaudojimas" SSL 3.0 Fallback ".

. Tai supaprastinant, jei užpuolikas, naudodamas ataką "Man-In-The-Middle", gali kontroliuoti maršrutizatorių viešojoje viešojoje vietoje, gali priversti naršyklę pereiti prie SSL 3.0( senesnio protokolo), o ne naudotidaug labiau šiuolaikišką TLS( Transport Layer Security), tada išnaudokite saugumo skylę SSL, kad užgrobtumėte naršyklės seansus. Kadangi ši problema yra protokole, tai turi įtakos viskas, kas naudoja SSL.

Kol serveris ir klientas( žiniatinklio naršyklė) palaiko SSL 3.0, užpuolikas gali priversti pakartotinai keisti protokolą, taigi, net jei jūsų naršyklė bando naudoti TLS, tai galų gale priversta naudoti SSL.Vienintelis atsakymas yra iš abiejų pusių arba iš abiejų pusių, jei norite pašalinti SSL palaikymą, pašalinus galimybę jį sumažinti.

Jei pirmiausia naršote iš namų ir nenaudojate viešų taškų, žalos galimybė yra gana žema, o vėliau galite papasakoti apie veiksmus, nurodytus straipsnyje, kad apsisaugotumėte. Jei dažnai naudojate viešą interneto prieigos tašką, gali būti laiko galvoti apie VPN naudojimą.

Kaip mes galime išspręsti problemą?

Kadangi negalima išspręsti su SSL susijusių problemų, vienintelis sprendimas yra naršyklių kūrėjams ir žiniatinklio serveriams atnaujinti viską, kad būtų pašalintas SSL palaikymas ir reikalingas tik TLS šifravimas.

"Google" ir "Firefox" jau pranešė, kad ateityje jie bus pašalinti paramą, o kol mes dar negavome( taip pat) iš "Microsoft", labai lengva galutiniam vartotojui išjungti "IE" SSL 3.0.Dauguma didelių žiniatinklio įmonių pašalina SSL palaikymą po šios problemos atsiradimo, bet tai užtruks šiek tiek laiko.

Kaip vartotojas, galite pašalinti SSL palaikymą iš naršyklės naudodamiesi vienu iš žemiau aprašytų metodų - arba jei naudojate "Firefox" arba "Google Chrome" ir visada nenaudojate viešosios interneto prieigos taškų, galite palaukti, kol jie atnaujins naršyklę.Arba galite įsitikinti, kad patys išsprendėte problemą.

"Mozilla Firefox"

"SSL 3.0" išjungimas Jei esate "Mozilla Firefox" naudotojas, jūsų "SSL 3.0" susirūpinimas bus uždėtas 2014 m. Lapkričio 25 d., Kai "Fireox 34" bus paleistas. Viena problema yra tai, kad dar nėra lapkritį, ir jūs turite imtis veiksmų dabar apsisaugoti. Pradėkite, atidarę naršyklę "Firefox" ir naršydami į "Firefox" atsisiųsto "SSL Version Control" puslapį.

Kai jis sėkmingai įdiegtas, į naršymo juostą galite įvesti "about: addons" ir pasirinkite "SSL Version Control" plėtinį.Galite spustelėti "Options", jei norite pamatyti pratęsimo nustatymus.Įsitikinkite, kad įjungta "Automatiniai naujiniai" ir kad "Minimali SSL versija" yra nustatyta kaip "TLS 1.0".

Po to, kai "Firefox 34" buvo paleistas, galite atsisakyti išplėsti arba pašalinti.

Išjungimas SSL 3.0 sistemoje "Google Chrome"

Jei esate "Google Chrome" vartotojas, galite būti tikri, kad SSL 3.0 bus išjungtas artimiausiais mėnesiais, nors jie dar nenustatė datos. Jei norite dabar apsisaugoti, tai gali būti padaryta keliais paprastais žingsniais. Tiesiog eikite į savo "Google Chrome" darbalaukio piktogramą ir dešiniuoju pelės mygtuku spustelėkite ją, tada išskleidžiamajame meniu apačioje pasirinkite "Ypatybės".

Langelyje "Ypatybės" pamatysite teksto įvesties laukelį, kuriame yra "Tikslinė". Tiesiog spustelėkite šį laukelį ir paspauskite klaviatūros mygtuką "Baigti".Tada paspauskite "Tarpo" ir nukopijuokite ir įklijuokite šį tekstą į pabaigą.

--ssl-version-min = tls1

Paspauskite "Taikyti", tada spustelėkite "Tęsti", tada spustelėkite "Gerai".

Dabar jūsų naršyklė automatiškai atmes SSL 3.0 sertifikatus ir priims tik TLS 1.0 ir naujesnę versiją.Verta paminėti, kad jei paleisite "Chrome" naudodami bet kurį kitą savo kompiuteryje esančią nuorodą, ji nenaudos šios vėliavos.

"Internet Explorer"

"SSL 3.0" išjungimas "Microsoft" dar nepranešė, kai ketina spręsti SSL 3.0 problemą, todėl geriausia ją išjungti, atidarius meniu "Pradėti" ir įvedus "Internet Options".

Eikite į "Internet Options"."Išplėstinis" skirtukas ir pereikite prie skirtuko "Sauga", kol pamatysite SSL ir TLS parinktis, tada iš naujo pažymėkite parinktį Naudoti SSL 3.0 ir įjunkite TLS.

Taip galite būti tikri, kad jūsų interneto naršyklės yra saugios nuo galimų POODLE išpuolių.

Image Credit: Karen on Flickr