2Sep
Težko je obdržati svoje misli o vseh teh internetnih katastrofah, ko se pojavljajo, in prav tako, kot smo menili, da je bil internet ponovno varen, ko je Heartbleed in Shellshock zagrozil, da bodo "končali življenje, kot ga poznamo", pride POODLE.
Ne delajte preveč, ker ni tako grozljivo, kot se sliši. Resnica je, da je vprašanje, s katerim se je treba ukvarjati, vendar obstajajo preprosti koraki, ki jih lahko sprejmete za zaščito sebe.
Kaj je POODLE?
Začnimo v pritličju. Kaj je POODLE?Najprej je označena kot " Padding Oracle On Downgraded Legacy Encryption ." Varnostno vprašanje je točno to, kar ime nakazuje, znižanje protokola, ki omogoča izkoriščanje na zastareli obliki šifriranja. Vprašanje je prišlo do svetovne pozornosti ta mesec, ko je Google izdal papir, imenovan "Ta POODLE ugriz: izkoriščanje SSL 3.0 Fallback".
Če želite to pojasniti preprosteje, če napadalec, ki uporablja napad Man-In-The-Middle, lahko prevzame nadzor nad usmerjevalnikom v javnem žarišču, lahko prisilijo vaš brskalnik, da preide na SSL 3.0( starejši protokol) namestoprecej bolj sodoben TLS( Varnost transportnega sloja) in nato izkoristite varnostno luknjo v SSL-ju za ugrabitev sej brskalnika. Ker je ta problem v protokolu, vpliva na vse, kar uporablja SSL.
Dokler strežnik in stranka( spletni brskalnik) podpirata SSL 3.0, lahko napadalec v protokolu prisili znižanje vrednosti, zato tudi, če vaš brskalnik poskuša uporabiti TLS, namesto tega prisili, da uporabi SSL.Edini odgovor je, da obe strani ali obe strani odstranita podporo za SSL, s čimer odstranite možnost, da bi bila znižana.
Če v glavnem brskate od doma in ne uporabljate javnih vročih točk, je možnost poškodbe precej nizka, zato lahko preprosto uporabite preproste korake, opisane kasneje v članku, da se zaščitite.Če pogosto uporabljate javno dostopno točko, je morda čas, da razmislite o uporabi VPN.
Kako rešiti problem?
Ker ni mogoče rešiti težav s protokolom SSL, je edina rešitev za ustvarjalce brskalnikov in spletnih strežnikov, da nadgradijo vse, da odstranijo podporo za SSL in zahtevajo samo šifriranje TLS.
Google in Firefox sta že napovedali, da bodo v prihodnosti odstranjevali podporo, in medtem ko tega še nismo( še) slišali od Microsofta, je zelo enostavno kot končni uporabnik, da onemogoči SSL 3.0 v IE.Večina velikih spletnih podjetij odstranjuje podporo za SSL po tem, ko je prišlo do tega problema, vendar bo za nekaj časa trajalo nekaj časa.
Kot potrošnik lahko v svojem brskalniku odstranite podporo za SSL z uporabo ene od spodaj opisanih metod - ali če uporabljate Firefox ali Google Chrome in ne uporabljate vročih točk ves čas, jih lahko počakate, da posodobijo brskalnik. Ali pa se prepričajte, da ste težave odpravili sami.
Onemogočanje SSL 3.0 v Mozilli Firefox
Če ste uporabnik Mozilla Firefox, bodo vaši skrbi SSL 3.0 spuščeni 25. novembra 2014, ko se sprosti Fireox 34.Edini problem s tem je, da še ni november in morate ukrepati, da se zaščitite zdaj. Začnite tako, da odprete brskalnik Firefox in pojdite na stran za prenos različice SSL Version Control v Firefoxu.
Ko je bil uspešno nameščen, lahko v vrstico za krmarjenje vnesete »about: addons« in izberete razširitev »SSL Version Control«.Če si želite ogledati nastavitve za razširitev, kliknite »Možnosti«.Zagotovite, da so vklopljene »Samodejne posodobitve« in da je »Minimalna različica SSL« nastavljena na »TLS 1.0«
Ko je bila izdana Firefox 34, lahko onemogočite razširitev ali odstranite.
Onemogočanje SSL 3.0 v brskalniku Google Chrome
Če ste uporabnik Google Chrome, lahko zagotovite, da bo SSL 3.0 onemogočen v prihodnjih mesecih, čeprav še niste določili datuma.Če se želite zdaj zaščititi, je to mogoče narediti v nekaj preprostih korakih. Preprosto pojdite na ikono namizja za Google Chrome in z desno miškino tipko kliknite na "Lastnosti" na dnu pojavnega menija.
V oknu "Lastnosti" se prikaže polje za vnos besedila, ki pravi "Target." V tem polju preprosto kliknite in pritisnite gumb "Konec" na tipkovnici. Nato pritisnite »Spacebar« in kopirajte in prilepite to besedilo na konec.
--ssl-version-min = tls1Pritisnite "Uporabi" in nato kliknite "Nadaljuj" v pojavnem oknu, nato pritisnite "OK."
Zdaj bo vaš brskalnik samodejno zavrnil potrdila SSL 3.0 in sprejel samo TLS 1.0 in novejše. Treba je omeniti, da če zaženete Chrome prek katere koli druge bližnjice na vašem računalniku, ta zastava ne bo uporabljala.
Onemogočanje SSL 3.0 v Internet Explorerju
Microsoft še ni napovedal, kdaj namerava odpraviti težavo o SSL 3.0, zato je najbolje, da ga sami onemogočite tako, da odprete meni »Start« in vnesete v »Internetne možnosti«.
Pojdite naZavihek »Napredno« in se pomaknite navzdol do razdelka »Varnost«, dokler ne prikažete možnosti SSL in TLS ter nato preverite možnost za uporabo SSL 3.0 in namesto tega omogočite TLS.
Na ta način ste lahko prepričani, da so vaši spletni brskalniki varni pred vsemi možnimi napadi POODLE.
Image Credit: Karen na Flickr