2Sep
Je ťažké zabaliť našu myseľ okolo všetkých týchto internetových katastrof, ako sa vyskytujú, a rovnako ako sme si mysleli, že internet je bezpečný znova po tom, ako Heartbleed a Shellshock vyhrážali, že "ukončia život, ako to vieme," prichádza POODLE.
Nepreťažujte sa, pretože to nie je tak hrozivé, ako to znie. Pravdou je, že je to otázka, ktorej sa treba zaoberať, ale existujú jednoduché kroky, ktoré môžete podniknúť, aby ste sa chránili.
Čo je POODLE?
Začnime v prízemí.Čo je POODLE?Najprv to znamená, že " Padding Oracle On Downgraded Legacy Encryption ". Problém s bezpečnosťou je presne to, čo naznačuje názov, downgrade protokolu, ktorý umožňuje zneužiť neaktuálnu podobu šifrovania. Táto otázka sa dostala do pozornosti sveta tento mesiac, keď spoločnosť Google vydala papier s názvom "Tento POODLE Bites: Využívanie SSL 3.0 Fallback".
Aby to bolo možné vysvetliť jednoduchšie, ak útočník, ktorý používa útok Man-In-The-Middle, môže prevziať kontrolu nad smerovačom na verejnom mieste prístupu, môže nútiť váš prehliadač k novej verzii SSL 3.0( staršiemu protokolu) namiesto použitiaoveľa modernejšiu TLS( Security Layer Security) a potom využite bezpečnostný otvor v protokole SSL, aby ste mohli uniesť svoje relácie prehliadača. Pretože tento problém je v protokole, všetko, čo používa protokol SSL, je ovplyvnené.
Pokiaľ server a klient( webový prehliadač) podporujú protokol SSL 3.0, môže útočník vynútiť zníženie úrovne protokolu, takže aj keď sa váš prehliadač pokúša používať TLS, namiesto toho nútia používať protokol SSL.Jedinou odpoveďou je odstránenie podpory pre SSL na obe strany alebo na obe strany, čím sa odstráni možnosť zníženia stavu.
Ak prechádzate predovšetkým z domu a nepoužívate verejné hotspoty, potenciál poškodenia je dosť nízky a môžete jednoducho urobiť jednoduché kroky uvedené nižšie v článku, aby ste sa ochránili. Ak často používate verejnú hotspot, môže byť čas premýšľať o používaní VPN.
Ako môžeme vyriešiť tento problém?
Pretože neexistuje žiadny spôsob, ako vyriešiť problémy s protokolom SSL, jediným riešením je, aby si výrobcovia prehliadačov a webové servery vylepšili všetko na odstránenie podpory SSL a vyžadovali iba šifrovanie TLS.
Spoločnosť Google a Firefox už oznámili, že budú v budúcnosti odstraňovať podporu a zatiaľ čo sme to ešte nepočuli od spoločnosti Microsoft, je to veľmi jednoduché, pretože koncový používateľ zakáže protokol SSL 3.0 v IE.Väčšina veľkých webových spoločností odstráni podporu SSL po objavení tohto problému, ale bude to chvíľu trvať, kým to urobia všetci.
Ako zákazník môžete odstrániť podporu pre protokol SSL z prehliadača pomocou jednej z nižšie uvedených metód - alebo ak používate prehliadač Firefox alebo prehliadač Google Chrome a nepoužívate hotspoty po celú dobu, môžete čakať na aktualizáciu prehliadača, Alebo sa môžete uistiť, že ste problém vyriešili sami.
Vypnutie protokolu SSL 3.0 v Mozille Firefoxu
Ak ste používateľom Mozilla Firefoxu, vaše obavy z SSL 3.0 sa posadí do postele 25. novembra 2014, kedy bude Fireox 34 prepustený.Jedným problémom v tomto prípade je, že ešte nie je november a je potrebné podniknúť kroky na to, aby ste sa teraz chránili. Začnite otvorením prehliadača Firefox a prechodom na stránku na prevzatie verzie SSL vo Firefoxe.
Po úspešnom nainštalovaní môžete do navigačného panela zadať "o: addonoch" a vybrať rozšírenie "Verzia SSL verzie".Ak chcete zobraziť nastavenia rozšírenia, kliknite na položku Možnosti. Uistite sa, že sú zapnuté funkcie "Automatické aktualizácie" a že "Minimálna verzia SSL" je nastavená na hodnotu "TLS 1.0"
Po uvoľnení Firefoxu 34 môžete bez obáv zaviesť príponu alebo ho odinštalovať.
Vypnutie protokolu SSL 3.0 v prehliadači Google Chrome
Ak ste používateľom prehliadača Google Chrome, môžete si byť istí, že protokol SSL 3.0 bude v nasledujúcich mesiacoch deaktivovaný, hoci ešte nenastavili dátum. Ak sa chcete teraz chrániť, môžete to urobiť niekoľkými jednoduchými krokmi. Jednoducho prejdite na ikonu pracovnej plochy prehliadača Google Chrome a kliknite na ňu pravým tlačidlom myši, potom v dolnej časti rozbaľovacej ponuky vyberte možnosť Vlastnosti.
V okne "Vlastnosti" uvidíte textové pole s označením "Target". Jednoducho kliknite na toto pole a stlačte tlačidlo "End" na klávesnici. Potom stlačte medzerník a skopírujte a prilepte tento text na koniec.
--ssl-version-min = tls1Stlačte "Apply" a potom kliknite na "Continue" v popup window a potom stlačte "OK".
Teraz váš prehliadač automaticky odmietne certifikáty SSL 3.0 a prijíma iba TLS 1.0 a novší.Stojí za to poznamenať, že ak spustíte prehliadač Chrome prostredníctvom ľubovoľnej inej klávesovej skratky v počítači, tento príznak nebude používať.
Vypnutie SSL 3.0 v programe Internet Explorer
Spoločnosť Microsoft ešte neoznámila, keď plánuje riešiť problém s protokolom SSL 3.0, takže je najlepšie ju deaktivovať otvorením ponuky "Štart" a zadaním "Možnosti siete Internet."
Prejsť naKartu "Pokročilé" a prejdite nadol do sekcie Zabezpečenie, až kým sa nezobrazia možnosti SSL a TLS, a potom zrušte začiarknutie možnosti Použiť SSL 3.0 a namiesto toho povoliť TLS.
Týmto spôsobom si môžete byť istí, že vaše internetové prehliadače sú zabezpečené pred možnými útokmi typu POODLE.
Image Credit: Karen na Flickr
