2Sep
Este greu să ne înfășurăm mintea în jurul tuturor acestor catastrofe de pe Internet, așa cum au apărut și așa cum am crezut că Internetul era sigur din nou după ce Heartbleed și Shellshock amenința că "vor sfârși viața așa cum o știm", vine POODLE.
Nu fi prea prelucrat, deoarece nu este atât de amenințător cât sună.Adevărul este că este o problemă de preocupat, dar există pași simpli pe care îi puteți lua pentru a vă proteja.
Ce este POODLE?
Să începem la parter. Ce este POODLE?În primul rând, se referă la " Padding Oracle On Downgraded Legacy Encryption ". Problema de securitate este exact ceea ce sugerează și numele, o downgrade protocol care permite exploatările pe o formă de criptare învechită.Problema a venit în atenția lumii în această lună, când Google a lansat o lucrare numită "Acest tip de musculare POODLE: Exploatarea SSL 3.0 Fallback".
Pentru a explica acest lucru într-un mod mai simplu, dacă un atacator care folosește un atac Man-In-The-Middle poate prelua controlul unui router la un hotspot public, acesta poate forța browserul să treacă la un SSL 3.0( un protocol mai vechi)cu mult mai modernă TLS( Security Layer Security), și apoi să exploateze o gaură de securitate în SSL pentru a-ți deturna sesiunile de browser. Deoarece această problemă se află în protocol, orice lucru care utilizează SSL este afectat.
atâta timp cât serverul și clientul( browserul web) acceptă SSL 3.0, atacatorul poate forța o downgrade în protocol, deci chiar dacă browserul dvs. încearcă să utilizeze TLS, acesta devine forțat să utilizeze SSL în schimb. Singurul răspuns este pentru ca fiecare parte sau ambele părți să elimine suportul pentru SSL, eliminând posibilitatea de a fi declasate.
Dacă răsfoiți în primul rând de acasă și nu utilizați hotspoturi publice, potențialul de deteriorare este destul de scăzut și puteți lua doar pașii simpli expuși mai târziu în articol pentru a vă proteja. Dacă utilizați frecvent un hotspot public, ar putea fi momentul să vă gândiți la utilizarea unei rețele VPN.
Cum putem rezolva problema?
Deoarece nu există nicio modalitate de a rezolva problemele cu SSL, singura soluție este ca producătorii de browsere și serverele web să actualizeze totul pentru a elimina suportul pentru SSL și necesită doar criptarea TLS.
Google și Firefox au anunțat deja că vor elimina suportul în viitor și, deși nu am auzit( încă) același lucru de la Microsoft, este extrem de ușor ca un utilizator final să dezactiveze SSL 3.0 în IE.Majoritatea companiilor web mari elimină suportul pentru SSL după ce această problemă a ieșit la lumină, dar va dura ceva timp ca toată lumea să facă acest lucru.
În calitate de consumator, puteți elimina suportul pentru SSL din browser utilizând una dintre metodele prezentate mai jos - sau dacă utilizați Firefox sau Google Chrome și nu utilizați hotspot-uri tot timpul, puteți să așteptați ca aceștia să actualizeze browserul. Sau puteți să vă asigurați că ați rezolvat problema singură.
Dezactivarea SSL 3.0 în Mozilla Firefox
Dacă sunteți utilizator Mozilla Firefox, preocupările dvs. SSL 3.0 vor fi așezate la culcare pe data de 25 noiembrie 2014 când va fi lansat Fireox 34.Singura problemă cu acest lucru este că nu este încă în noiembrie și trebuie să luați măsuri pentru a vă proteja acum.Începeți prin deschiderea browserului dvs. Firefox și navigând la pagina de descărcare a controlului versiunii SSL din Firefox.
După ce a fost instalat cu succes, puteți introduce "despre: addons" în bara de navigare și selectați extensia "Control versiune SSL".Puteți să dați clic pe "Opțiuni" pentru a vedea setările pentru extensie. Asigurați-vă că "Actualizările automate" sunt activate și că "Versiunea SSL minimă" este setată la "TLS 1.0"
După lansarea Firefox 34, puteți să dezactivați extensia sau să o dezinstalați.
Dezactivarea SSL 3.0 în Google Chrome
Dacă sunteți utilizator Google Chrome, puteți fi siguri că SSL 3.0 va fi dezactivat în următoarele luni, deși nu au stabilit încă o dată.Dacă doriți să vă protejați acum, se poate face în câțiva pași simpli. Pur și simplu accesați pictograma desktop Google Chrome și faceți clic dreapta pe el, apoi selectați "Proprietăți" din partea de jos a meniului pop-up.
În fereastra "Proprietăți" veți vedea o casetă de introducere a textului care afișează "Țintă". Pur și simplu faceți clic în această casetă și apăsați butonul "Sfârșit" de pe tastatură.Apoi, apăsați "Bara de spațiu" și copiați și lipiți acest text până la capăt.
--ssl-version-min = tls1Apăsați pe "Apply" apoi faceți clic pe "Continue" în fereastra pop-up, apoi apăsați "OK".
Acum, browserul dvs. va respinge automat certificatele SSL 3.0 și va accepta TLS 1.0 și versiuni ulterioare. Merită menționat că dacă lansați Chrome prin orice altă comandă rapidă de pe computer, acesta nu va utiliza acest steag.
Dezactivarea SSL 3.0 în Internet Explorer
Microsoft nu a anunțat încă când intenționează să abordeze problema SSL 3.0, deci este mai bine să o dezactivați prin deschiderea meniului "Start" și tastând "Opțiuni Internet."
AccesațiFila "Avansat" și defilați în jos până la secțiunea "Securitate" până când vedeți opțiunile SSL și TLS, apoi debifați opțiunea Utilizare SSL 3.0 și activați TLS în schimb.
Astfel, puteți fi siguri că browserele dvs. de internet sunt toate protejate împotriva atacurilor potențiale POODLE.
Credit de imagine: Karen pe Flickr