Трудно осмыслить все эти интернет-катастрофы по мере их возникновения, и так же, как мы думали, что Интернет снова стал безопасным после того, как Heartbleed и Shellshock пригрозили «покончить с жизнью в том виде, в каком мы ее знаем», выходит POODLE.
Не волнуйтесь, это не так опасно, как кажется. Правда в том, что это проблема, над которой стоит задуматься, но есть простые шаги, которые вы можете предпринять, чтобы обезопасить себя.
Что такое ПУДЛЬ?
Начнем с первого этажа. Что такое ПУДЛЬ? Во-первых, это означает " Дополнение Oracle к устаревшему шифрованию с пониженной версией . » Проблема безопасности - это именно то, что следует из названия: понижение версии протокола, которая позволяет использовать устаревшую форму шифрования. Эта проблема привлекла внимание всего мира в этом месяце, когда Google выпустил документ под названием «Укусы этого пуделя: использование альтернативного варианта SSL 3.0».
СВЯЗАННЫЕ С: Как подключиться к VPN в Windows
Чтобы объяснить это проще, если злоумышленник, использующий атаку Man-In-The-Middle, может взять под контроль маршрутизатор в общедоступной точке доступа, он может заставить ваш браузер перейти на SSL 3.0 (старый протокол) вместо использования гораздо более современный TLS (Transport Layer Security), а затем использовать брешь в безопасности SSL, чтобы захватить сеансы браузера. Поскольку эта проблема заключается в протоколе, затрагивается все, что использует SSL.
Пока и сервер, и клиент (веб-браузер) поддерживают SSL 3.0, злоумышленник может принудительно перейти на более раннюю версию протокола, поэтому даже если ваш браузер пытается использовать TLS, он в конечном итоге вынужден использовать вместо этого SSL. Единственный ответ для любой из сторон или обеих сторон - удалить поддержку SSL, исключив возможность понижения версии.
Если вы в основном просматриваете страницы из дома и не пользуетесь общедоступными точками доступа, вероятность повреждения довольно низка, и вы можете просто предпринять простые шаги, описанные далее в статье, чтобы защитить себя. Если вы часто пользуетесь общедоступной точкой доступа, возможно, пришло время подумайте об использовании VPN .
Как мы можем решить эту проблему?
Поскольку нет способа решить проблемы с SSL, единственное решение для разработчиков браузеров и веб-серверов - обновить все, чтобы удалить поддержку SSL и потребовать только шифрование TLS.
Google и Firefox уже объявили о прекращении поддержки в будущем, и хотя мы (пока) не слышали того же от Microsoft, конечному пользователю очень легко отключить SSL 3.0 в IE. Большинство крупных веб-компаний прекращают поддержку SSL после того, как эта проблема обнаружилась, но всем потребуется время, чтобы это сделать.
Как потребитель, вы можете отключить поддержку SSL в своем браузере одним из способов, описанных ниже. Если вы используете Firefox или Google Chrome и не используете все время точки доступа, вы можете дождаться, пока они обновят браузер. Или вы можете убедиться, что вы сами устранили проблему.
Отключение SSL 3.0 в Mozilla Firefox
Если вы являетесь пользователем Mozilla Firefox, ваши проблемы с SSL 3.0 будут решены 25 ноября 2014 года, когда будет выпущен Fireox 34. Единственная проблема в том, что еще не наступил ноябрь, и вам нужно принять меры, чтобы защитить себя сейчас. Начните с открытия браузера Firefox и перехода к Контроль версий SSL страницу загрузки в Firefox.
После успешной установки вы можете ввести «about: addons» в панель навигации и выбрать расширение «Контроль версий SSL». Вы можете нажать «Параметры», чтобы увидеть настройки расширения. Убедитесь, что «Автоматические обновления» включены и что «Минимальная версия SSL» установлена на «TLS 1.0».
После выпуска Firefox 34 вы можете отключить расширение или удалить его.
Отключение SSL 3.0 в Google Chrome
Если вы пользователь Google Chrome, можете не сомневаться, что SSL 3.0 будет отключен в ближайшие месяцы, хотя дата еще не установлена. Если вы хотите защитить себя сейчас, это можно сделать за несколько простых шагов. Просто перейдите к значку на рабочем столе Google Chrome и щелкните его правой кнопкой мыши, затем выберите «Свойства» внизу всплывающего меню.
В окне «Свойства» вы увидите текстовое поле ввода с надписью «Цель». Просто щелкните это поле и нажмите кнопку «Конец» на клавиатуре. Затем нажмите «Пробел», скопируйте и вставьте этот текст в конец.
--ssl-version-min = tls1
Нажмите «Применить», затем «Продолжить» во всплывающем окне, затем нажмите «ОК».
Теперь ваш браузер будет автоматически отклонять сертификаты SSL 3.0 и принимать только TLS 1.0 и выше. Стоит отметить, что если вы запустите Chrome с помощью любого другого ярлыка на своем компьютере, он не будет использовать этот флаг.
Отключение SSL 3.0 в Internet Explorer
Microsoft еще не объявила, когда они планируют решить проблему SSL 3.0, поэтому лучше отключить его самостоятельно, открыв меню «Пуск» и набрав «Свойства обозревателя».
Перейдите на вкладку «Дополнительно» и прокрутите вниз до раздела «Безопасность», пока не увидите параметры SSL и TLS, а затем снимите флажок «Использовать SSL 3.0» и вместо этого включите TLS.
Таким образом, вы можете быть уверены, что все ваши интернет-браузеры защищены от любых потенциальных атак POODLE.
Кредит изображения: Карен на Flickr
