Este greu să ne înfășurăm mintea în jurul tuturor acestor catastrofe pe internet pe măsură ce apar și, așa cum am crezut că internetul este din nou sigur după ce Heartbleed și Shellshock au amenințat că „vor pune capăt vieții așa cum o cunoaștem”, apare POODLE.
Nu fi prea muncit, deoarece nu este atât de amenințător pe cât pare. Adevărul este că este o problemă de care trebuie să vă preocupați, dar există pași simpli pe care îi puteți lua pentru a vă proteja.
Ce este POODLE?
Să începem de la parter. Ce este POODLE? În primul rând, înseamnă „ Completarea Oracle la criptarea moștenită degradată . ” Problema de securitate este exact ceea ce sugerează numele, o retrogradare a protocolului care permite exploatarea unei forme de criptare învechite. Problema a atras atenția lumii în această lună, când Google a lansat o lucrare numită „This POODLE Bites: Exploiting The SSL 3.0 Fallback”.
LEGATE DE: Cum să vă conectați la un VPN în Windows
Pentru a explica acest lucru în termeni mai simpli, dacă un atacator care folosește un atac Man-In-The-Middle poate prelua controlul unui router într-un hotspot public, acesta poate forța browserul să treacă la SSL 3.0 (un protocol mai vechi) în loc să utilizeze mult mai modern TLS (Transport Layer Security), și apoi exploatează o gaură de securitate în SSL pentru a-ți deturna sesiunile de browser. Deoarece această problemă se află în protocol, tot ceea ce folosește SSL este afectat.
Atâta timp cât serverul și clientul (browserul web) acceptă SSL 3.0, atacatorul poate forța o retrogradare a protocolului, astfel încât chiar dacă browserul dvs. încearcă să utilizeze TLS, acesta va fi forțat să folosească SSL în loc. Singurul răspuns este ca ambele părți sau ambele părți să elimine suportul pentru SSL, eliminând posibilitatea de a fi retrogradat.
Dacă navigați în principal de acasă și nu utilizați hotspot-uri publice, potențialul de daune este destul de scăzut și puteți lua pașii simpli descriși mai târziu în articol pentru a vă proteja. Dacă folosiți des un hotspot public, ar putea fi timpul să faceți acest lucru gândește-te să folosești un VPN .
Cum putem rezolva problema?
Deoarece nu există nicio modalitate de a rezolva problemele cu SSL, singura soluție este ca producătorii de browsere și serverele web să actualizeze totul pentru a elimina suportul pentru SSL și necesită doar criptare TLS.
Google și Firefox au anunțat deja că vor elimina asistența în viitor și, deși nu am auzit (încă) același lucru de la Microsoft, este extrem de ușor ca utilizator final să dezactivăm SSL 3.0 în IE. Majoritatea companiilor web mari elimină suportul pentru SSL după ce a apărut această problemă, dar toată lumea va dura ceva timp.
În calitate de consumator, puteți elimina suportul pentru SSL din browserul dvs. utilizând una dintre metodele prezentate mai jos - sau dacă utilizați Firefox sau Google Chrome și nu utilizați hotspoturi tot timpul, ați putea aștepta ca aceștia să actualizeze browserul. Sau vă puteți asigura că ați rezolvat singur problema.
Dezactivarea SSL 3.0 în Mozilla Firefox
Dacă sunteți utilizator Mozilla Firefox, preocupările dvs. SSL 3.0 vor fi puse în pat pe 25 noiembrie 2014, când va fi lansat Fireox 34. Singura problemă este că nu este încă noiembrie și trebuie să luați măsuri pentru a vă proteja acum. Începeți prin a vă deschide browserul Firefox și a naviga la Control versiune SSL pagina de descărcare în Firefox.
După ce a fost instalat cu succes, puteți introduce „about: addons” în bara de navigare și puteți selecta extensia „SSL Version Control”. Puteți face clic pe „Opțiuni” pentru a vedea setările pentru extensie. Asigurați-vă că „Actualizările automate” sunt activate și că „Versiunea minimă SSL” este setată la „TLS 1.0”
După lansarea Firefox 34, vă puteți simți liber să dezactivați extensia sau să o dezinstalați.
Dezactivarea SSL 3.0 în Google Chrome
Dacă sunteți utilizator Google Chrome, puteți fi siguri că SSL 3.0 va fi dezactivat în lunile următoare, deși nu au stabilit încă o dată. Dacă doriți să vă protejați acum, se poate face în câțiva pași simpli. Pur și simplu accesați pictograma desktop Google Chrome și faceți clic dreapta pe ea, apoi selectați „Proprietăți” în partea de jos a meniului pop-up.
În fereastra „Proprietăți” veți vedea o casetă de introducere a textului pe care scrie „Țintă”. Pur și simplu faceți clic în această casetă și apăsați butonul „Sfârșit” de pe tastatură. Apoi, apăsați „Bara de spațiu” și copiați și lipiți acest text la capăt.
--ssl-version-min = tls1
Apăsați „Aplicați”, apoi faceți clic pe „Continuați” în fereastra pop-up, apoi apăsați „OK”.
Acum browserul dvs. va respinge automat certificatele SSL 3.0 și va accepta doar TLS 1.0 și o versiune ulterioară. Este demn de remarcat faptul că, dacă lansați Chrome prin orice altă comandă rapidă de pe computer, nu va folosi acest semnal.
Dezactivarea SSL 3.0 în Internet Explorer
Microsoft nu a anunțat încă când intenționează să abordeze problema SSL 3.0, deci este mai bine să o dezactivați singur deschizând meniul „Start” și tastând „Opțiuni Internet”.
Mergeți la fila „Avansat” și derulați în jos până la secțiunea „Securitate” până când vedeți opțiunile SSL și TLS, apoi debifați opțiunea pentru Utilizați SSL 3.0 și activați TLS în schimb.
În acest fel puteți fi siguri că browserele dvs. de internet sunt protejate de orice potențial atac POODLE.
Credit de imagine: Karen pe Flickr
