On vaikea kietoa mielemme kaikkien näiden Internet-katastrofien ympärille niiden tapahtuessa, ja aivan kuten ajattelimme Internetin olevan jälleen turvallinen sen jälkeen, kun Heartbleed ja Shellshock uhkasivat "lopettaa elämänsä sellaisena kuin me sen tiedämme", tulee POODLE.
Älä saa liikaa työtä, koska se ei ole niin uhkaavaa kuin miltä se kuulostaa. Totuus on, että asia on huolestuttava asia, mutta voit suojata itsesi yksinkertaisesti.
Mikä on POODLE?
Aloitetaan pohjakerroksessa. Mikä on POODLE? Ensinnäkin se tarkoittaa Oracle-päivitys vanhemmalle vanhemmalle salaukselle . ” Turvallisuuskysymys on nimenomaan nimi, protokollan päivitys, joka sallii hyödyntämisen vanhentuneessa salausmuodossa. Asia tuli maailman huomion kohteeksi tässä kuussa, kun Google julkaisi paperin nimeltä “This POODLE Bites: Exploiting The SSL 3.0 Fallback”.
LIITTYVÄT: Kuinka muodostaa yhteys VPN: ään Windowsissa
Selittääkseen tämän yksinkertaisemmin, jos Man-In-The-Middle-hyökkäystä käyttävä hyökkääjä voi ottaa reitittimen hallintaan julkisella hotspotilla, he voivat pakottaa selaimesi alentamaan SSL 3.0: n (vanhempi protokolla) sen sijaan, että käyttäisivät paljon nykyaikaisempaa TLS: tä (Transport Layer Security) ja hyödynnä sitten SSL: n suojausreikää kaappaamaan selainistunnot. Koska tämä ongelma on protokollassa, se vaikuttaa mihin tahansa, mikä käyttää SSL: ää.
Niin kauan kuin sekä palvelin että asiakas (verkkoselain) tukevat SSL 3.0: ta, hyökkääjä voi pakottaa protokollan alennuksen, joten vaikka selaimesi yrittäisi käyttää TLS: ää, se joutuu käyttämään sen sijaan SSL: ää. Ainoa vastaus on, että jompikumpi tai molemmat osapuolet poistavat SSL-tuen ja poistavat mahdollisuuden alentaa sitä.
Jos selaat pääasiassa kotoa etkä käytä julkisia hotspotteja, vahinkojen mahdollisuus on melko pieni, ja voit vain suojata itsesi myöhemmin artikkelissa hahmotelluilla helpoilla vaiheilla. Jos käytät usein julkista hotspotia, saattaa olla aika mieti VPN: n käyttöä .
Miten voimme ratkaista ongelman?
Koska SSL: n ongelmia ei voida ratkaista, ainoa ratkaisu on, että selaimen valmistajat ja verkkopalvelimet päivittävät kaiken SSL-tuen poistamiseksi ja vaativat vain TLS-salausta.
Google ja Firefox ovat jo ilmoittaneet poistavansa tuen tulevaisuudessa, ja vaikka emme ole vielä (vielä) kuulleet samaa Microsoftilta, on erittäin helppoa loppukäyttäjänä poistaa SSL 3.0 käytöstä IE: ssä. Suurin osa suurista verkko-yrityksistä poistaa SSL-tuen tämän ongelman paljastumisen jälkeen, mutta kaikkien kestää jonkin aikaa.
Kuluttajana voit poistaa SSL-tuen selaimestasi jollakin alla kuvatuista tavoista - tai jos käytät Firefoxia tai Google Chromea etkä jatkuvasti käytä hotspotteja, voit odottaa, että ne päivittävät selaimen. Tai voit varmistaa, että olet itse korjannut ongelman.
SSL 3.0: n poistaminen käytöstä Mozilla Firefoxissa
Jos olet Mozilla Firefox -käyttäjä, SSL 3.0 -ongelmat asetetaan nukkumaan 25. marraskuuta 2014, kun Fireox 34 julkaistaan. Ainoa ongelma tässä on, että ei ole vielä marraskuu, ja sinun on ryhdyttävä toimiin itsesi suojaamiseksi nyt. Aloita avaamalla Firefox-selain ja siirtymällä SSL-versionhallinta lataussivu Firefoxissa.
Kun asennus on onnistunut, voit kirjoittaa navigointipalkkiin ”about: addons” ja valita ”SSL Version Control” -laajennuksen. Voit napsauttaa "Asetukset" nähdäksesi laajennuksen asetukset. Varmista, että ”Automaattiset päivitykset” ovat päällä ja että ”Vähimmäis-SSL-versio” -asetukseksi on määritetty ”TLS 1.0”.
Kun Firefox 34 on julkaistu, voit poistaa laajennuksen käytöstä tai poistaa sen.
SSL 3.0: n poistaminen käytöstä Google Chromessa
Jos olet Google Chrome -käyttäjä, voit olla varma, että SSL 3.0 poistetaan käytöstä tulevina kuukausina, vaikka he eivät ole vielä asettaneet päivämäärää. Jos haluat suojautua nyt, se voidaan tehdä muutamalla yksinkertaisella vaiheella. Mene vain Google Chromen työpöydän kuvakkeeseen ja napsauta sitä hiiren kakkospainikkeella ja valitse sitten Ominaisuudet ponnahdusvalikon alareunasta.
Ominaisuudet-ikkunassa näkyy tekstinsyöttöruutu, jossa lukee Kohde. Napsauta vain tätä ruutua ja paina näppäimistön "End" -painiketta. Paina seuraavaksi välilyöntiä ja kopioi ja liitä tämä teksti loppuun.
--ssl-version-min = tls1
Paina "Käytä" ja napsauta sitten "Jatka" ponnahdusikkunassa ja paina sitten "OK".
Nyt selaimesi hylkää automaattisesti SSL 3.0 -varmenteet ja hyväksyy vain TLS 1.0 tai uudemman. On syytä huomata, että jos käynnistät Chromen minkä tahansa muun tietokoneen pikakuvakkeen kautta, se ei käytä tätä lippua.
SSL 3.0: n poistaminen käytöstä Internet Explorerissa
Microsoft ei ole vielä ilmoittanut aikovansa ratkaista SSL 3.0 -ongelman, joten kannattaa poistaa se käytöstä itse avaamalla Käynnistä-valikko ja kirjoittamalla Internet-asetukset.
Siirry Lisäasetukset-välilehteen ja vieritä alas Suojaus-osioon, kunnes näet SSL- ja TLS-vaihtoehdot, ja poista sitten valinta Käytä SSL 3.0: ta ja ota TLS käyttöön.
Näin voit olla varma, että kaikki Internet-selaimesi ovat suojattuja mahdollisilta POODLE-hyökkäyksiltä.
Kuvahyvitys: Karen on Flickr
