2Sep
Det är svårt att sätta upp våra sinnen runt alla dessa internetkatastrofer som de uppstår, och precis som vi trodde att Internet var säkert igen efter att Heartbleed och Shellshock hotat att "avsluta livet som vi känner det" kommer ut POODLE.
Bli inte för upparbetad eftersom det inte är så hotfullt som det låter. Sanningen är att det är ett problem att vara oroad över, men det finns enkla steg du kan vidta för att skydda dig själv.
Vad är POODLE?
Låt oss börja på bottenvåningen. Vad är POODLE?Först och främst står det för " Padding Oracle On Nedgraderad Legacy Encryption ." Säkerhetsproblemet är precis vad namnet antyder, en nedgradering av protokoll som möjliggör exploateringar med en föråldrad form av kryptering. Problemet kom till världens uppmärksamhet denna månad när Google släppte ett dokument som heter "This POODLE Bites: Exploiting SSL 3.0 Fallback".
För att förklara detta i enklare termer, om en angripare som använder en man-i-mitten-attack kan ta kontroll över en router i ett offentligt hotspot, kan de tvinga din webbläsare att nedgradera till SSL 3.0( ett äldre protokoll) istället för att användaden mycket modernare TLS( Transport Layer Security), och utnyttja sedan ett säkerhetshål i SSL för att kapa dina webbläsarsessioner. Eftersom detta problem finns i protokollet påverkas allt som använder SSL.
Så länge som både servern och klienten( webbläsaren) stöder SSL 3.0, kan angriparen tvinga en nedgradering i protokollet, så även om webbläsaren försöker använda TLS, slutar det att bli tvungen att använda SSL istället. Det enda svaret är att åt sidan eller båda sidor tar bort stöd för SSL, vilket eliminerar möjligheten att nedgraderas.
Om du i första hand surfar hemifrån och inte använder offentliga hotspots är risken för skador ganska låg, och du kan bara ta de enkla steg som beskrivs senare i artikeln för att skydda dig själv. Om du ofta använder en offentlig hotspot kan det vara dags att tänka på att använda en VPN.
Hur kan vi lösa problemet?
Eftersom det inte finns något sätt att lösa problemen med SSL, är den enda lösningen för webbläsare och webbservrar att uppgradera allt för att ta bort support för SSL och kräver endast TLS-kryptering.
Google och Firefox har redan meddelat att de kommer att ta bort support i framtiden och medan vi ännu inte har hört samma sak från Microsoft är det extremt enkelt som slutanvändare att inaktivera SSL 3.0 i IE.De flesta av de stora webbbolagen tar bort stöd för SSL efter det att detta problem uppstod, men det tar ett tag för alla att göra det.
Som konsument kan du ta bort stöd för SSL från din webbläsare med hjälp av någon av metoderna nedan - eller om du använder Firefox eller Google Chrome och inte använder hotspots hela tiden, kan du vänta på att uppdatera webbläsaren. Eller du kan se till att du själv har löst problemet.
Inaktivera SSL 3.0 i Mozilla Firefox
Om du är en Mozilla Firefox-användare kommer dina SSL 3.0-frågor att läggas på sängen den 25 november 2014 när Fireox 34 släpps. Det enda problemet med detta är att det ännu inte är november och du måste vidta åtgärder för att skydda dig nu. Börja med att öppna din Firefox-webbläsare och navigera till nedladdningssidan för SSL Version Control i Firefox.
När det har blivit installerat kan du ange "om: addons" i navigeringsfältet och välja "SSL Version Control" -tillägget. Du kan klicka på "Alternativ" för att se inställningarna för tillägget. Se till att "Automatiska uppdateringar" är på och att "Minimum SSL Version" är inställd på "TLS 1.0"
Efter att Firefox 34 har släppts kan du gärna avaktivera tillägget eller avinstallera det.
Inaktivera SSL 3.0 i Google Chrome
Om du är en Google Chrome-användare kan du vara säker på att SSL 3.0 kommer att inaktiveras under de kommande månaderna, även om de ännu inte har angett ett datum. Om du vill skydda dig nu kan det göras i några enkla steg. Gå helt enkelt till din Google Chrome-skrivbordsikon och högerklicka på den och välj sedan "Egenskaper" längst ner i popup-menyn.
I fönstret Egenskaper ser du en textrutan som säger "Target". Klicka bara i den här rutan och tryck på "End" -knappen på tangentbordet. Tryck sedan på "mellanslag" och kopiera och klistra in texten på slutet.
--ssl-version-min = tls1Tryck på "Apply" och klicka sedan "Fortsätt" i popup-fönstret och tryck sedan på "OK".
Nu kommer din webbläsare automatiskt avvisa SSL 3.0-certifikat och accepterar bara TLS 1.0 och högre. Det är värt att notera att om du startar Chrome via någon annan genväg på din dator, kommer den inte att använda den här flaggan.
Inaktivera SSL 3.0 i Internet Explorer
Microsoft har ännu inte meddelat när de planerar att ta itu med SSL 3.0-problemet så det är bäst att inaktivera det själv genom att öppna din "Start" -meny och skriva in "Internet-alternativ."
Gå tillFliken Avancerat och bläddra ner till avsnittet Säkerhet tills du ser alternativen SSL och TLS och avmarkera sedan alternativet för Använd SSL 3.0 och aktivera TLS istället.
På så vis kan du vara säker på att dina webbläsare är alla säkra från eventuella POODLE-attacker.
Bildkrediter: Karen on Flickr