Det är svårt att tänka på alla dessa Internetkatastrofer när de inträffar, och precis som vi trodde att Internet var säkert igen efter Heartbleed och Shellshock hotade att ”avsluta livet som vi känner det”, kommer POODLE.
Bli inte för upparbetad eftersom det inte är så hotfullt som det låter. Sanningen är att det är en fråga att vara bekymrad över, men det finns enkla steg du kan ta för att skydda dig själv.
Vad är POODLE?
Låt oss börja på bottenvåningen. Vad är POODLE? För det första står det för “ Padding Oracle On Nedgraderad Legacy-kryptering . ” Säkerhetsfrågan är exakt vad namnet antyder, en protokollnedgradering som tillåter utnyttjande på en föråldrad form av kryptering. Frågan fick världens uppmärksamhet den här månaden när Google släppte en tidning som heter "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
RELATERAD: Hur man ansluter till en VPN i Windows
För att förklara detta i enklare termer, om en angripare som använder en Man-In-The-Middle-attack kan ta kontroll över en router vid en offentlig hotspot, kan de tvinga din webbläsare att nedgradera till SSL 3.0 (ett äldre protokoll) istället för att använda mycket mer modern TLS (Transport Layer Security), och utnyttja sedan ett säkerhetshål i SSL för att kapa dina webbläsarsessioner. Eftersom detta problem finns i protokollet påverkas allt som använder SSL.
Så länge både servern och klienten (webbläsare) stöder SSL 3.0, kan angriparen tvinga en nedgradering i protokollet, så även om din webbläsare försöker använda TLS, blir den tvungen att använda SSL istället. Det enda svaret är att endera eller båda sidor tar bort stöd för SSL, vilket tar bort möjligheten att nedgraderas.
Om du främst surfar hemifrån och inte använder offentliga hotspots är risken för skador ganska låg och du kan bara ta de enkla stegen som beskrivs senare i artikeln för att skydda dig själv. Om du ofta använder en offentlig hotspot kan det vara dags att fundera på att använda en VPN .
Hur kan vi lösa problemet?
Eftersom det inte finns något sätt att lösa problemen med SSL är den enda lösningen att webbläsartillverkare och webbservrar uppgraderar allt för att ta bort stöd för SSL och endast kräver TLS-kryptering.
Google och Firefox har redan meddelat att de kommer att ta bort support i framtiden, och även om vi inte (ännu) har hört detsamma från Microsoft är det extremt enkelt som slutanvändare att inaktivera SSL 3.0 i IE. De flesta av de stora webbföretagen tar bort stöd för SSL efter att detta problem uppdagats, men det tar ett tag för alla att göra det.
Som konsument kan du ta bort stöd för SSL från din webbläsare med någon av metoderna nedan - eller om du använder Firefox eller Google Chrome och inte använder hotspots hela tiden kan du vänta på att de uppdaterar webbläsaren. Eller så kan du se till att du har åtgärdat problemet själv.
Inaktivera SSL 3.0 i Mozilla Firefox
Om du använder Mozilla Firefox kommer dina SSL 3.0-problem att läggas till sängs den 25 november 2014 när Fireox 34 släpps. Det enda problemet med detta är att det ännu inte är november och du måste vidta åtgärder för att skydda dig själv nu. Börja med att öppna din Firefox-webbläsare och navigera till SSL-versionskontroll nedladdningssida i Firefox.
När den har installerats framgångsrikt kan du ange “about: addons” i navigeringsfältet och välja tillägget “SSL Version Control”. Du kan klicka på "Alternativ" för att se inställningarna för tillägget. Se till att "Automatiska uppdateringar" är på och att "Minsta SSL-version" är inställd på "TLS 1.0"
När Firefox 34 har släppts kan du inaktivera tillägget eller avinstallera det.
Inaktivera SSL 3.0 i Google Chrome
Om du är Google Chrome-användare kan du vara säker på att SSL 3.0 kommer att inaktiveras under de kommande månaderna, även om de ännu inte har angett ett datum. Om du vill skydda dig själv nu kan det göras i några enkla steg. Gå helt enkelt till din Google Chrome-skrivbordsikon och högerklicka på den och välj sedan "Egenskaper" längst ner i popup-menyn.
I fönstret "Egenskaper" ser du en textinmatningsruta som säger "Mål". Klicka bara i den här rutan och tryck på "Avsluta" -knappen på tangentbordet. Tryck sedan på "mellanslag" och kopiera och klistra in den här texten i slutet.
--ssl-version-min = tls1
Tryck på "Apply" och klicka sedan på "Fortsätt" i popup-fönstret och tryck sedan på "OK".
Nu avvisar din webbläsare automatiskt SSL 3.0-certifikat och accepterar endast TLS 1.0 och högre. Det är värt att notera att om du startar Chrome via någon annan genväg på din dator, kommer den inte att använda den här flaggan.
Inaktivera SSL 3.0 i Internet Explorer
Microsoft har ännu inte meddelat när de planerar att ta itu med SSL 3.0-problemet, så det är bäst att inaktivera det själv genom att öppna "Start" -menyn och skriva in "Internetalternativ."
Gå till fliken "Avancerat" och bläddra ner till avsnittet "Säkerhet" tills du ser SSL- och TLS-alternativen och avmarkera sedan alternativet Använd SSL 3.0 och aktivera TLS istället.
På detta sätt kan du vara säker på att dina webbläsare alla är säkra från eventuella POODLE-attacker.
Bildkredit: Karen på Flickr
