इन सभी इंटरनेट आपदाओं के दौरान हमारे दिमाग को लपेटना कठिन है, और जैसा कि हमने सोचा था कि हार्टबल और शेलशॉक के बाद इंटरनेट फिर से सुरक्षित हो गया था, "जब हम जानते हैं कि जीवन समाप्त हो गया है, तो यह खतरा है"।
यह बहुत अधिक काम नहीं करता है क्योंकि यह उतना खतरनाक नहीं है जितना लगता है। सच्चाई यह है कि यह एक ऐसा मुद्दा है जिसके साथ संबंध होना चाहिए, लेकिन ऐसे सरल कदम हैं जो आप खुद को सुरक्षित रख सकते हैं।
POODLE क्या है?
आइए भूतल पर शुरू करें। POODLE क्या है? सबसे पहले, यह "के लिए खड़ा है डाउनग्रेड विरासत विरासत पर Oracle पेडिंग । " सुरक्षा का मुद्दा ठीक वैसा ही है जैसा कि नाम से पता चलता है, एक प्रोटोकॉल डाउनग्रेड जो एन्क्रिप्शन के पुराने रूप पर शोषण की अनुमति देता है। यह मुद्दा इस महीने दुनिया के ध्यान में आया जब Google ने "इस पागलों के काटने: एसएसएल 3.0 फालोइंग को उजागर" नामक एक पेपर जारी किया।
सम्बंधित: विंडोज में वीपीएन से कैसे कनेक्ट करें
इसे सरल शब्दों में समझाने के लिए, यदि कोई हमलावर मैन-इन-द-मिडिल हमले का उपयोग करता है, तो सार्वजनिक हॉटस्पॉट पर राउटर का नियंत्रण ले सकता है, वे आपके ब्राउज़र को SSL 3.0 (एक पुराने प्रोटोकॉल) का उपयोग करने के बजाय डाउनग्रेड करने के लिए बाध्य कर सकते हैं। बहुत अधिक आधुनिक टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी), और फिर अपने ब्राउज़र सत्रों को हाईजैक करने के लिए एसएसएल में एक सुरक्षा छेद का उपयोग करें। चूंकि यह समस्या प्रोटोकॉल में है, SSL का उपयोग करने वाली कोई भी चीज प्रभावित होती है।
जब तक सर्वर और क्लाइंट (वेब ब्राउजर) दोनों एसएसएल 3.0 का समर्थन करते हैं, तब तक हमलावर प्रोटोकॉल में गिरावट को मजबूर कर सकता है, इसलिए यहां तक कि अगर आपका ब्राउज़र टीएलएस का उपयोग करने की कोशिश करता है, तो इसके बजाय एसएसएल का उपयोग करने के लिए मजबूर होना समाप्त होता है। एसएसएल के लिए समर्थन हटाने के लिए एकमात्र उत्तर दोनों ओर या नीचे है, जो डाउनग्रेड होने की संभावना को दूर करता है।
यदि आप मुख्य रूप से घर से ब्राउज़ करते हैं और सार्वजनिक हॉटस्पॉट का उपयोग नहीं करते हैं, तो नुकसान की संभावना बहुत कम है, और आप अपने आप को बचाने के लिए लेख में बाद में उल्लिखित आसान कदम उठा सकते हैं। यदि आप अक्सर सार्वजनिक हॉटस्पॉट का उपयोग करते हैं, तो यह समय हो सकता है एक वीपीएन का उपयोग करने के बारे में सोचें .
हम समस्या को कैसे हल कर सकते हैं?
चूंकि एसएसएल के साथ समस्याओं को हल करने का कोई तरीका नहीं है, ब्राउज़र और वेब सर्वर के लिए एकमात्र समाधान एसएसएल के लिए समर्थन को हटाने के लिए सब कुछ अपग्रेड करना और केवल टीएलएस एन्क्रिप्शन की आवश्यकता है।
Google और फ़ायरफ़ॉक्स ने पहले ही घोषणा कर दी है कि वे भविष्य में समर्थन को हटा देंगे, और जब हमने Microsoft से ऐसा नहीं सुना, तो यह IE में SSL 3.0 को अक्षम करने के लिए अंतिम-उपयोगकर्ता के रूप में बेहद आसान है। इस समस्या के सामने आने के बाद अधिकांश बड़ी वेब कंपनियां SSL के लिए समर्थन हटा रही हैं, लेकिन ऐसा करने में सभी को थोड़ा समय लगेगा।
एक उपभोक्ता के रूप में, आप नीचे दिए गए तरीकों में से एक का उपयोग करके अपने ब्राउज़र से एसएसएल के लिए समर्थन हटा सकते हैं - या यदि आप फ़ायरफ़ॉक्स या गूगल क्रोम का उपयोग कर रहे हैं और हर समय हॉटस्पॉट का उपयोग नहीं कर रहे हैं, तो आप ब्राउज़र को अपडेट करने के लिए उनकी प्रतीक्षा कर सकते हैं। या आप यह सुनिश्चित कर सकते हैं कि आपने समस्या को स्वयं ठीक कर लिया है।
मोज़िला फ़ायरफ़ॉक्स में एसएसएल 3.0 को निष्क्रिय करना
यदि आप एक मोज़िला फ़ायरफ़ॉक्स उपयोगकर्ता हैं, तो आपके एसएसएल 3.0 की चिंताओं को 25 नवंबर, 2014 को रखा जाएगा, जब फ़ायरॉक्स 34 जारी किया जाता है। इसके साथ एक समस्या यह है कि यह अभी तक नवंबर नहीं है और आपको अब खुद को बचाने के लिए कार्रवाई करने की आवश्यकता है। अपने फ़ायरफ़ॉक्स ब्राउज़र को खोलने और करने के लिए नेविगेट करके शुरू करें एसएसएल संस्करण नियंत्रण फ़ायरफ़ॉक्स में डाउनलोड पेज।
जब यह सफलतापूर्वक स्थापित हो गया है, तो आप नेविगेशन बार में "about: addons" दर्ज कर सकते हैं और "SSL संस्करण नियंत्रण" एक्सटेंशन का चयन कर सकते हैं। आप एक्सटेंशन के लिए सेटिंग्स को देखने के लिए "विकल्प" पर क्लिक कर सकते हैं। सुनिश्चित करें कि "स्वचालित अपडेट" चालू हैं और "न्यूनतम एसएसएल संस्करण" "टीएलएस 1.0" पर सेट है
फ़ायरफ़ॉक्स 34 जारी होने के बाद, आप एक्सटेंशन को अक्षम करने या इसे अनइंस्टॉल करने के लिए स्वतंत्र महसूस कर सकते हैं।
Google Chrome में SSL 3.0 को अक्षम करना
यदि आप Google Chrome उपयोगकर्ता हैं, तो आप आश्वस्त हो सकते हैं कि आगामी महीनों में SSL 3.0 अक्षम हो जाएगा, हालांकि उन्होंने अभी तक कोई तिथि निर्धारित नहीं की है। यदि आप अभी अपनी सुरक्षा करना चाहते हैं, तो यह कुछ सरल चरणों में किया जा सकता है। बस अपने Google Chrome डेस्कटॉप आइकन पर जाएं और उस पर राइट क्लिक करें और पॉपअप मेनू के नीचे "गुण" चुनें।
"गुण" विंडो में आपको एक टेक्स्ट इनपुट बॉक्स दिखाई देगा, जो कहता है "लक्ष्य।" बस इस बॉक्स में क्लिक करें और अपने कीबोर्ड पर "एंड" बटन दबाएं। अगला, "स्पेसबार" दबाएं और इस टेक्स्ट को अंत में कॉपी और पेस्ट करें।
--ssl-संस्करण मिनट = tls1
"लागू करें" दबाएं फिर पॉपअप विंडो में "जारी रखें" पर क्लिक करें और फिर "ओके" दबाएं।
अब आपका ब्राउज़र स्वचालित रूप से SSL 3.0 प्रमाणपत्रों को अस्वीकार कर देगा और केवल TLS 1.0 और उच्चतर स्वीकार करेगा। यह ध्यान देने योग्य है कि यदि आप अपने कंप्यूटर पर किसी अन्य शॉर्टकट के माध्यम से क्रोम लॉन्च करते हैं, तो यह इस ध्वज का उपयोग नहीं करेगा।
इंटरनेट एक्सप्लोरर में एसएसएल 3.0 को निष्क्रिय करना
Microsoft ने अभी तक घोषणा नहीं की है जब वे एसएसएल 3.0 मुद्दे को संबोधित करने की योजना बना रहे हैं, इसलिए अपने "स्टार्ट" मेनू को खोलकर और "इंटरनेट विकल्प" में टाइप करके इसे स्वयं को अक्षम करना सबसे अच्छा है।
"उन्नत" टैब पर जाएं और SSL और TLS विकल्प देखने तक "सुरक्षा" अनुभाग तक स्क्रॉल करें, और तब SSL 3.0 का उपयोग करने के विकल्प को अन-चेक करें, और इसके बजाय TLS सक्षम करें।
इस तरह आप यह सुनिश्चित कर सकते हैं कि आपके इंटरनेट ब्राउज़र सभी संभावित POODLE हमलों से सुरक्षित हैं।
छवि क्रेडिट: फ़्लिकर पर करेन
