これらすべてのインターネットの大惨事が発生したときに心を包むのは困難です。HeartbleedとShellshockが「私たちが知っているとおりに人生を終わらせる」と脅した後、インターネットが再び安全だと思ったのと同じように、POODLEが登場します。
思ったほど威嚇的ではないので、あまり手間をかけないでください。真実はそれが懸念される問題であるということです、しかしあなたがあなた自身を守るためにあなたがとることができる簡単なステップがあります。
プードルとは?
1階から始めましょう。プードルとは?まず、「 ダウングレードされたレガシー暗号化でのOracleのパディング 。」セキュリティの問題は、その名前が示すとおり、古い形式の暗号化でのエクスプロイトを可能にするプロトコルのダウングレードです。この問題は今月、Googleが「ThisPOODLE Bites:Exploiting the SSL3.0Fallback」という論文を発表したときに世界の注目を集めました。
これを簡単に説明すると、Man-In-The-Middle攻撃を使用する攻撃者がパブリックホットスポットでルーターを制御できる場合、ブラウザを使用する代わりにSSL 3.0(古いプロトコル)にダウングレードすることができます。はるかに新しいTLS(Transport Layer Security)を使用してから、SSLのセキュリティホールを悪用してブラウザセッションを乗っ取ります。この問題はプロトコルにあるため、SSLを使用するものはすべて影響を受けます。
サーバーとクライアント(Webブラウザー)の両方がSSL 3.0をサポートしている限り、攻撃者はプロトコルのダウングレードを強制する可能性があるため、ブラウザーがTLSを使用しようとしても、代わりにSSLを使用するように強制されます。唯一の答えは、どちらか一方または両方がSSLのサポートを削除し、ダウングレードされる可能性を排除することです。
主に自宅から閲覧し、公共のホットスポットを使用しない場合、被害の可能性はかなり低く、記事の後半で概説する簡単な手順で身を守ることができます。公共のホットスポットを頻繁に使用する場合は、 VPNの使用を検討してください 。
どうすれば問題を解決できますか?
SSLの問題を解決する方法がないため、唯一の解決策は、ブラウザメーカーとウェブサーバーがすべてをアップグレードしてSSLのサポートを削除し、TLS暗号化のみを必要とすることです。
GoogleとFirefoxは、将来的にサポートを削除することをすでに発表しています。Microsoftからは(まだ)同じことを聞いていませんが、エンドユーザーとしてIEでSSL3.0を無効にするのは非常に簡単です。この問題が明らかになった後、大規模なWeb企業のほとんどはSSLのサポートを削除していますが、誰もがそうするのにはしばらく時間がかかります。
消費者は、以下に概説する方法のいずれかを使用して、ブラウザからSSLのサポートを削除できます。または、FirefoxまたはGoogle Chromeを使用していて、常にホットスポットを使用していない場合は、ブラウザが更新されるのを待つことができます。または、問題を自分で修正したことを確認できます。
MozillaFirefoxでSSL3.0を無効にする
Mozilla Firefoxユーザーの場合、SSL 3.0に関する懸念は、Fireox34がリリースされた2014年11月25日に解決されます。これに関する1つの問題は、まだ11月ではなく、今すぐ身を守るために行動を起こす必要があるということです。 Firefoxブラウザを開いて、に移動することから始めます。 SSLバージョン管理 Firefoxのダウンロードページ。
正常にインストールされたら、ナビゲーションバーに「about:addons」と入力し、「SSLバージョン管理」拡張機能を選択できます。 「オプション」をクリックすると、拡張機能の設定が表示されます。 「自動更新」がオンになっていて、「最小SSLバージョン」が「TLS1.0」に設定されていることを確認します
Firefox 34がリリースされたら、拡張機能を無効にするか、アンインストールしてください。
GoogleChromeでSSL3.0を無効にする
Google Chromeユーザーの場合、SSL 3.0は今後数か月で無効になりますが、日付はまだ設定されていませんのでご安心ください。今すぐ身を守りたい場合は、いくつかの簡単な手順で行うことができます。 Google Chromeデスクトップアイコンに移動して右クリックし、ポップアップメニューの下部にある[プロパティ]を選択するだけです。
「プロパティ」ウィンドウに、「ターゲット」というテキスト入力ボックスが表示されます。このボックスをクリックして、キーボードの「終了」ボタンを押すだけです。次に、「スペースバー」を押して、このテキストをコピーして最後に貼り付けます。
--ssl-version-min = tls1
「適用」を押し、ポップアップウィンドウで「続行」をクリックしてから「OK」を押します。
これで、ブラウザはSSL 3.0証明書を自動的に拒否し、TLS1.0以降のみを受け入れます。パソコンの他のショートカットからChromeを起動した場合、このフラグは使用されないことに注意してください。
InternetExplorerでSSL3.0を無効にする
Microsoftは、SSL 3.0の問題に対処する計画をまだ発表していないため、[スタート]メニューを開き、[インターネットオプション]と入力して、SSL3.0を自分で無効にすることをお勧めします。
[詳細設定]タブに移動し、[SSL]オプションと[TLS]オプションが表示されるまで[セキュリティ]セクションまでスクロールして、[SSL 3.0を使用する]オプションのチェックを外し、代わりにTLSを有効にします。
このようにして、インターネットブラウザが潜在的なPOODLE攻撃からすべて安全であることを確認できます。
画像クレジット: Flickrのカレン
