2Sep
Het is moeilijk om ons hoofd te bedenken rond al deze internetrampjes terwijl ze zich voordoen, en net zoals we dachten dat internet weer veilig was nadat Heartbleed en Shellshock gedreigd hadden met "een einde te maken aan het leven zoals we het kennen", komt er POODLE uit.
Raak je niet te druk omdat het niet zo dreigend is als het klinkt. De waarheid is dat het een probleem is om je zorgen over te maken, maar er zijn eenvoudige stappen die je kunt nemen om jezelf te beschermen.
Wat is POODLE?
Laten we beginnen op de begane grond. Wat is POODLE?Ten eerste staat het voor " Padding Oracle op gedeclasseerde legacy-codering ." Het beveiligingsprobleem is precies wat de naam doet vermoeden, een protocol-downgrade waarmee exploits op een verouderde vorm van codering mogelijk zijn. Het probleem kwam deze maand ter wereld de aandacht toen Google een paper uitbracht genaamd "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
Om dit in eenvoudiger bewoordingen uit te leggen, als een aanvaller die een Man-in-The-Middle aanval gebruikt de leiding van een router bij een openbare hotspot kan overnemen, kunnen ze je browser dwingen om te downgraden naar SSL 3.0( een ouder protocol) in plaats van het gebruiken vande veel modernere TLS( Transport Layer Security) en misbruik vervolgens een beveiligingslek in SSL om uw browsersessies te kapen. Aangezien dit probleem in het protocol voorkomt, wordt alles beïnvloed dat SSL gebruikt.
Zolang zowel de server als de client( webbrowser) SSL 3.0 ondersteunen, kan de aanvaller een downgrade in het protocol forceren, dus zelfs als uw browser TLS probeert te gebruiken, wordt het uiteindelijk gedwongen om SSL te gebruiken. Het enige antwoord is voor beide partijen of beide partijen om ondersteuning voor SSL te verwijderen, waardoor de mogelijkheid om te worden gedowngraded, wordt verwijderd.
Als u voornamelijk thuis browst en geen openbare hotspots gebruikt, is de kans op schade vrij laag en kunt u de eenvoudige stappen nemen die verderop in het artikel worden beschreven om uzelf te beschermen. Als u vaak een openbare hotspot gebruikt, is het misschien tijd om na te denken over het gebruik van een VPN.
Hoe kunnen we het probleem oplossen?
Aangezien er geen manier is om de problemen met SSL op te lossen, is de enige oplossing voor browsermakers en webservers om alles te upgraden om ondersteuning voor SSL te verwijderen en alleen TLS-codering te vereisen.
Google en Firefox hebben al aangekondigd dat zij in de toekomst support zullen verwijderen en hoewel we( nog) niet hetzelfde hebben gehoord van Microsoft, is het uiterst eenvoudig als eindgebruiker om SSL 3.0 in IE uit te schakelen. De meeste grote internetbedrijven verwijderen de ondersteuning voor SSL nadat dit probleem aan het licht kwam, maar het zal een tijdje duren voordat iedereen dit doet.
Als klant kunt u de ondersteuning voor SSL uit uw browser verwijderen met behulp van een van de onderstaande methoden - of als u Firefox of Google Chrome gebruikt en niet altijd hotspots gebruikt, kunt u wachten totdat ze de browser hebben bijgewerkt. Of u kunt ervoor zorgen dat u het probleem zelf hebt opgelost.
SSL 3.0 uitschakelen in Mozilla Firefox
Als u een Mozilla Firefox-gebruiker bent, worden uw SSL 3.0-zorgen naar bed gebracht op 25 november 2014 wanneer Fireox 34 wordt uitgebracht. Het enige probleem hiermee is dat het nog geen november is en dat je actie moet ondernemen om jezelf nu te beschermen. Begin met het openen van uw Firefox-browser en ga naar de downloadpagina voor SSL-versiebeheer in Firefox.
Wanneer het met succes is geïnstalleerd, kunt u "about: addons" in de navigatiebalk invoeren en de extensie "SSL Version Control" selecteren. U kunt klikken op "Opties" om de instellingen voor de extensie te bekijken. Zorg ervoor dat de "Automatische updates" zijn ingeschakeld en dat de "Minimum SSL-versie" is ingesteld op "TLS 1.0"
Nadat Firefox 34 is uitgebracht, kunt u de extensie uitschakelen of verwijderen.
SSL 3.0 uitschakelen in Google Chrome
Als u een Google Chrome-gebruiker bent, kunt u er zeker van zijn dat SSL 3.0 de komende maanden zal worden uitgeschakeld, hoewel ze nog geen datum hebben ingesteld. Als je jezelf nu wilt beschermen, kan het in een paar eenvoudige stappen worden gedaan. Ga gewoon naar uw Google Chrome-bureaubladpictogram en klik er met de rechtermuisknop op en selecteer vervolgens "Eigenschappen" onderaan het pop-upmenu.
In het venster "Eigenschappen" ziet u een tekstinvoervak met de tekst "Doel". Klik eenvoudigweg in dit vak en druk op de knop "Einde" op uw toetsenbord. Druk vervolgens op de "Spatiebalk" en kopieer en plak deze tekst aan het einde.
--ssl-version-min = tls1Druk op "Toepassen" en klik vervolgens op "Doorgaan" in het pop-upvenster en druk vervolgens op "OK".
Nu zal uw browser SSL 3.0-certificaten automatisch weigeren en alleen TLS 1.0 en hoger accepteren. Het is vermeldenswaard dat als u Chrome via een andere snelkoppeling op uw computer start, deze vlag niet wordt gebruikt.
SSL 3.0 uitschakelen in Internet Explorer
Microsoft heeft nog niet aangekondigd wanneer zij van plan zijn het SSL 3.0-probleem aan te pakken, dus het is het beste om het zelf uit te schakelen door het menu "Start" te openen en "Internetopties" te typen.
Ga naar de"Geavanceerd" -tabblad en scrol omlaag naar het gedeelte "Beveiliging" totdat u de SSL- en TLS-opties ziet en schakel vervolgens de optie voor Gebruik SSL 3.0 uit en schakel in plaats daarvan TLS in.
Op deze manier kunt u er zeker van zijn dat uw internetbrowsers allemaal beveiligd zijn tegen mogelijke POODLE-aanvallen.
Image Credit: Karen op Flickr