2Sep
Grūti iedomāties visu šo interneta katastrofu, kā tas notiek, un tāpat kā mēs domājām, ka Internets atkal ir drošs pēc Heartbleed un Shellshock draudēja "izbeigt dzīvi, kā mēs to zinām," no POODLE nāk.
Neizmantojiet pārāk rūpīgi, jo tas nav tik bīstams, kā izklausās. Patiesība ir tāda, ka tas ir jautājums, uz kuru jātiecas, bet ir vienkāršas darbības, kuras jūs varat veikt, lai aizsargātu sevi.
Kas ir POODLE?
Sāksimies pirmajā stāvā.Kas ir POODLE?Pirmkārt, tas nozīmē " padding Oracle uz pazeminātu mantoto šifrēšanu ." Drošības jautājums ir tieši tas nosaukums, proti, protokola pazemināšana, kas ļauj izmantot novecojušas šifrēšanas formas.Šī problēma nonāca pie pasaules uzmanības šogad, kad Google izdeva papīru ar nosaukumu "Šis POODLE kodumi: izmantojot SSL 3.0 atsitienu".
Lai to izskaidrotu vienkāršāk, ja uzbrucējs, kas izmanto "Man-In-The-Middle" uzbrukumu, var pārņemt router kontroli publiskajā karstajā vietā, tas var piespiest pārlūkprogrammu pazemināt versiju uz SSL 3.0( vecāku protokolu), nevis izmantotdaudz modernāku TLS( Transport Layer Security), un pēc tam izmantojiet SSL drošības joslu, lai nolaupītu jūsu pārlūkprogrammas sesijas. Tā kā šī problēma ir protokolā, tiek ietekmēts viss, kas izmanto SSL.
Kamēr gan serveris, gan klients( tīmekļa pārlūkprogramma) atbalsta SSL 3.0, uzbrucējs var piespiest samazināt protokolu, tādēļ pat tad, ja jūsu pārlūkprogramma mēģina izmantot TLS, tā vietā ir spiesta izmantot SSL.Vienīgā atbilde ir no abām pusēm vai abām pusēm, lai noņemtu atbalstu SSL, novēršot iespēju tikt nomainītam.
Ja jūs galvenokārt pārlūkojat mājās un neizmantojat publiskus karstajos punktus, kaitējuma iespējamība ir diezgan zema, un jūs varat vienkārši veikt pasākumus, kas izklāstīti rakstā, lai aizsargātu sevi. Ja jūs bieži lietojat publisko karsta punktu, tas varētu būt laiks domāt par VPN lietošanu.
Kā mēs varam atrisināt problēmu?
Tā kā SSL problēmas nav atrisinātas, vienīgais risinājums ir pārlūkprogrammu veidotājiem un tīmekļa serveriem, lai uzlabotu visu, lai noņemtu SSL atbalstu un pieprasītu tikai TLS šifrēšanu.
Google un Firefox jau ir paziņojuši, ka nākotnē tie tiks noņemti no atbalsta, un, lai gan mēs( vēl) vēl neesam dzirdējuši to pašu no Microsoft, ļoti vienkāršs ir tas, ka gala lietotājs pārlūkprogrammā IE atspējo SSL 3.0.Lielākā daļa no lielajām tīmekļa kompānijām noņem atbalstu SSL, kad šī problēma atklājās, bet visiem to vajadzētu darīt zināmu laiku.
Kā patērētājs jūs varat noņemt no sava pārlūkprogrammas SSL atbalstu, izmantojot kādu no tālāk aprakstītajām metodēm, vai arī, ja jūs izmantojat Firefox vai Google Chrome un nepārtraukti neizmantojat krātuves, varat gaidīt, kamēr viņi atjaunina pārlūku..Vai arī jūs varat pārliecināties, ka pats esat novērsis problēmu.
Mozilla Firefox
atspējošana SSL 3.0 Ja esat Mozilla Firefox lietotājs, jūsu SSL 3.0 problēmas tiks nodotas gultā 2014. gada 25. novembrī, kad Fireox 34 tiks atbrīvots. Viena problēma ir tā, ka tas vēl nav novembris, un jums ir jārīkojas, lai aizsargātu sevi tagad. Sāciet, atverot pārlūkprogrammu Firefox un dodoties uz SSL versijas kontroles lejupielādes lapu pārlūkprogrammā Firefox.
Kad tā ir veiksmīgi instalēta, jūs varat ievadīt "about: addons" navigācijas joslā un atlasīt paplašinājumu "SSL Version Control".Jūs varat noklikšķināt uz "Opcijas", lai skatītu paplašinājuma iestatījumus. Pārliecinieties, vai ir ieslēgts "Automātiskie atjauninājumi" un "Minimālā SSL versija" ir iestatīta uz "TLS 1.0".
Pēc Firefox 34 atbrīvošanas jūs varat atslēgt paplašinājumu vai atinstalēt to.
Atspējojot SSL 3.0 pārlūkā Google Chrome
Ja esat Google Chrome lietotājs, varat būt drošs, ka nākamo mēnešu laikā SSL 3.0 tiks atspējots, lai gan tās vēl nav iestatījušas datumu. Ja jūs vēlaties aizsargāt sevi tagad, to var izdarīt, veicot dažas vienkāršas darbības. Vienkārši dodieties uz savu Google Chrome darbvirsmas ikonu un ar peles labo taustiņu noklikšķiniet uz tā, pēc tam uznirstošās izvēlnes apakšpusē izvēlieties "Properties".
Logā "Properties" jūs redzēsiet teksta ievades lodziņu, kurā ir norāde "Target". Vienkārši noklikšķiniet šajā lodziņā un nospiediet tastatūras taustiņu "Beigt".Pēc tam nospiediet "SPACE" un nokopējiet un ielīmējiet šo tekstu beigās.
--ssl-version-min = tls1Nospiediet "Apply", tad uznirstošajā logā noklikšķiniet uz "Continue", pēc tam nospiediet "OK".
Tagad jūsu pārlūkprogramma automātiski noraidīs SSL 3.0 sertifikātus un pieņems tikai TLS 1.0 un jaunāku versiju. Ir vērts atzīmēt, ka, ja jūs palaidīsit pārlūku Chrome, izmantojot jebkuru citu saīsni savā datorā, tas neizmantos šo karodziņu.
Atspējojot SSL 3.0 pārlūkprogrammā Internet Explorer
Microsoft vēl nav paziņojusi, ka plāno risināt SSL 3.0 problēmu, tāpēc vislabāk to atspējot pats, atverot izvēlni "Start" un ievadot "Internet Options".
AtverietCilnē "Izvērstā versija" un ritiniet uz leju līdz sadaļai "Drošība", līdz tiek parādīti SSL un TLS opcijas, un pēc tam noņemiet iespēju izmantot SSL 3.0 un iespējojiet TLS.
Tādējādi jūs varat būt pārliecināti, ka jūsu interneta pārlūkprogrammas ir drošas no iespējamiem POODLE uzbrukumiem.
attēla kredīts: Karen Flickr
