Важко огортати наші думки всіма цими Інтернет-катастрофами, коли вони трапляються, і так само, як ми думали, що Інтернет знову безпечний після того, як Heartbleed і Shellshock погрожували "покінчити з життям, як ми це знаємо", виходить POODLE.
Не надто переробляйся, бо це не так загрозливо, як здається. Правда полягає в тому, що це питання, яким потрібно займатися, але є кілька простих кроків, щоб захистити себе.
Що таке POODLE?
Почнемо з першого поверху. Що таке POODLE? По-перше, це означає " Заповнення Oracle при зниженні старого шифрування . " Проблема безпеки - це саме те, що випливає з назви, зниження версії протоколу, яке дозволяє використовувати застарілі форми шифрування. Цю проблему привернули увагу світу цього місяця, коли Google випустив статтю „This POODLE Bites: Exploiting the SSL 3.0 Fallback”.
ПОВ'ЯЗАНІ: Як підключитися до VPN в Windows
Щоб пояснити це простішими словами, якщо зловмисник, який використовує атаку "Людина в середині", може взяти під контроль маршрутизатор у загальнодоступній точці доступу, вони можуть змусити ваш браузер перейти на SSL 3.0 (старіший протокол) замість використання набагато сучасніший TLS (Transport Layer Security), а потім скористайтеся дірою безпеки в SSL, щоб захопити сеанси браузера. Оскільки ця проблема полягає в протоколі, це впливає на все, що використовує SSL.
Поки як сервер, так і клієнт (веб-браузер) підтримують SSL 3.0, зловмисник може примусити знизити рівень протоколу, тому навіть якщо ваш браузер намагається використовувати TLS, він замість цього змушений використовувати SSL. Єдина відповідь полягає в тому, щоб обидві сторони або обидві сторони скасували підтримку SSL, усунувши можливість погіршення версії.
Якщо ви в основному переглядаєте вдома і не користуєтесь загальнодоступними точками доступу, потенціал шкоди досить низький, і ви можете просто зробити прості кроки, описані далі в статті, щоб захистити себе. Якщо ви часто використовуєте загальнодоступну точку доступу, можливо, настав час подумайте про використання VPN .
Як ми можемо вирішити проблему?
Оскільки неможливо вирішити проблеми з SSL, єдиним рішенням є те, що виробники браузерів та веб-сервери можуть оновити все, щоб скасувати підтримку SSL, і вимагатиме лише шифрування TLS.
Google і Firefox вже оголосили, що у майбутньому скасують підтримку, і хоча ми (ще) не чули того ж від Microsoft, як кінцевому користувачеві надзвичайно просто вимкнути SSL 3.0 в IE. Більшість великих веб-компаній скасовують підтримку SSL після того, як ця проблема виявилася, але це займе деякий час, щоб усі це зробили.
Будучи споживачем, ви можете видалити підтримку SSL із свого браузера, використовуючи один із методів, описаних нижче - або якщо ви використовуєте Firefox або Google Chrome і не використовуєте гарячі точки постійно, ви можете почекати, поки вони оновлять браузер. Або ви можете переконатися, що вирішили проблему самостійно.
Вимкнення SSL 3.0 у Mozilla Firefox
Якщо ви користуєтеся Mozilla Firefox, ваші занепокоєння щодо SSL 3.0 будуть припинені 25 листопада 2014 року, коли вийде Fireox 34. Проблема в цьому полягає в тому, що ще не листопад, і вам потрібно вжити заходів, щоб захиститися зараз. Почніть з відкриття браузера Firefox та переходу до Контроль версій SSL завантажити сторінку у Firefox.
Після успішного встановлення ви можете ввести “about: addons” на панель навігації та вибрати розширення “SSL Version Control”. Ви можете натиснути “Параметри”, щоб побачити налаштування розширення. Переконайтеся, що ввімкнено функцію «Автоматичне оновлення», а для параметра «Мінімальна версія SSL» встановлено значення «TLS 1.0»
Після випуску Firefox 34 ви можете вимкнути розширення або видалити його.
Вимкнення SSL 3.0 у Google Chrome
Якщо ви користувач Google Chrome, можете бути впевнені, що SSL 3.0 буде відключений у найближчі місяці, хоча вони ще не встановили дату. Якщо ви хочете захистити себе зараз, це можна зробити за кілька простих кроків. Просто перейдіть до піктограми робочого столу Google Chrome і клацніть правою кнопкою миші, а потім виберіть “Властивості” внизу спливаючого меню.
У вікні "Властивості" ви побачите поле введення тексту із написом "Ціль". Просто клацніть у цьому полі та натисніть кнопку “Кінець” на клавіатурі. Далі натисніть клавішу "Пробіл" і скопіюйте та вставте цей текст у кінець.
--ssl-version-min = tls1
Натисніть «Застосувати», потім у спливаючому вікні натисніть «Продовжити», а потім натисніть «ОК».
Тепер ваш браузер автоматично відхилить сертифікати SSL 3.0 і прийматиме лише TLS 1.0 і вище. Варто зазначити, що якщо ви запускаєте Chrome через будь-який інший ярлик на своєму комп’ютері, він не буде використовувати цей прапор.
Вимкнення SSL 3.0 в Internet Explorer
Microsoft ще не оголосила, коли планує вирішити проблему SSL 3.0, тому найкраще вимкнути її самостійно, відкривши меню «Пуск» і набравши «Властивості браузера».
Перейдіть на вкладку «Додатково» та прокрутіть униз до розділу «Безпека», доки не побачите опції SSL та TLS, а потім зніміть прапорець Використовувати SSL 3.0 і натомість увімкніть TLS.
Таким чином ви можете бути впевнені, що всі ваші Інтернет-браузери захищені від будь-яких потенційних атак POODLE.
Кредит зображення: Карен на Flickr
