If-Koubou

Kāda ir POODLE neaizsargātība un kā jūs varat aizsargāt sevi?

Kāda ir POODLE neaizsargātība un kā jūs varat aizsargāt sevi? (Kā)

Ir grūti iedomāties visu šo interneta katastrofu, kā tas noticis, un tāpat kā mēs domājām, ka Internets ir atkal drošs pēc Heartbleed un Shellshock draudēja "izbeigt dzīvi, kā mēs to zinām," no POODLE nāk.

Neizmantojiet pārāk rūpīgi, jo tas nav tik bīstams, kā izklausās. Patiesība ir tāda, ka tas ir jautājums, uz kuru jātiecas, bet ir vienkāršas darbības, kuras jūs varat veikt, lai aizsargātu sevi.

Kas ir POODLE?

Sāksimies pirmajā stāvā. Kas ir POODLE? Pirmkārt, tas nozīmē "Padarot Oracle uz pazeminātu mantoto šifrēšanu. "Drošības jautājums ir tieši tas nosaukums, proti, protokola pazemināšana, kas ļauj izmantot novecojušas šifrēšanas formas. Šī problēma nonāca pie pasaules uzmanības šogad, kad Google izdeva papīru ar nosaukumu "Šis POODLE kodumi: izmantojot SSL 3.0 atsitienu".

Lai to izskaidrotu vienkāršāk, ja uzbrucējs, kas izmanto Man-In-The-Middle uzbrukumu, var kontrolēt maršrutētāju publiskā krātuves vietulī, tas var piespiest pārlūkprogrammu pazemināt versiju uz SSL 3.0 (vecāku protokolu), nevis izmantot daudz modernāku TLS (Transport Layer Security), un pēc tam izmantojiet SSL drošības joslu, lai nolaupītu jūsu pārlūkprogrammas sesijas. Tā kā šī problēma ir protokolā, tiek ietekmēts viss, kas izmanto SSL.

Kamēr gan serveris, gan klients (tīmekļa pārlūkprogramma) atbalsta SSL 3.0, uzbrucējs var piespiest samazināt protokolu, tādēļ pat tad, ja jūsu pārlūkprogramma mēģina izmantot TLS, tā vietā tiek liegts izmantot SSL. Vienīgā atbilde ir no abām pusēm vai abām pusēm, lai noņemtu atbalstu SSL, novēršot iespēju tikt nomainītam.

Ja jūs galvenokārt pārlūkojat no mājām un neizmanto publiskos karstajos punktus, kaitējuma iespējamība ir diezgan zema, un jūs varat vienkārši veikt pasākumus, kas izklāstīti rakstā, lai aizsargātu sevi. Ja jūs bieži lietojat publisko karsta punktu, tas varētu būt laiks domāt par VPN lietošanu.

Kā mēs varam atrisināt problēmu?

Tā kā SSL problēmas nevar atrisināt, vienīgais risinājums ir pārlūkprogrammu veidotājiem un tīmekļa serveriem, lai uzlabotu visu, lai noņemtu SSL atbalstu un pieprasītu tikai TLS šifrēšanu.

Google un Firefox jau ir paziņojuši, ka nākotnē tie tiks noņemti no atbalsta, un, lai gan mēs vēl neesam (vēl) dzirdējuši to pašu no Microsoft, gala lietotājam ir ļoti vienkārši izslēgt IE SSL 3.0. Lielākā daļa no lielajām tīmekļa kompānijām noņem atbalstu SSL, kad šī problēma atklājās, bet visiem to vajadzētu darīt zināmu laiku.

Kā patērētāju jūs varat noņemt no pārlūkprogrammas SSL atbalstu, izmantojot kādu no tālāk aprakstītajām metodēm, vai arī, ja jūs izmantojat Firefox vai Google Chrome un nepārtraukti lietojat karstajos punktus, jūs varat gaidīt, kamēr viņi atjaunina pārlūku. Vai arī jūs varat pārliecināties, ka pats esat novērsis problēmu.

Mozilla Firefox atspējošana SSL 3.0

Ja esat Mozilla Firefox lietotājs, jūsu SSL 3.0 problēmas tiks nodotas gultā 2014. gada 25. novembrī, kad tiks atbrīvots Fireox 34. Viena problēma ir tā, ka tas vēl nav novembris, un jums ir jārīkojas, lai aizsargātu sevi tagad. Sāciet, atverot pārlūkprogrammu Firefox un dodoties uz SSL versijas kontroles lejupielādes lapu pārlūkprogrammā Firefox.

Kad tas ir veiksmīgi instalēts, navigācijas joslā varat ievadīt "about: addons" un atlasīt paplašinājumu "SSL Version Control". Jūs varat noklikšķināt uz "Opcijas", lai skatītu paplašinājuma iestatījumus. Pārliecinieties, vai ir ieslēgts "Automātiskie atjauninājumi" un "Minimālā SSL versija" ir iestatīta uz "TLS 1.0"

Kad Firefox 34 ir atbrīvots, jūs varat atslēgt paplašinājumu vai atinstalēt to.

Google Chrome atspējošana SSL 3.0

Ja esat Google Chrome lietotājs, varat būt drošs, ka nākamo mēnešu laikā SSL 3.0 tiks atspējots, lai gan tie vēl nav iestatījuši datumu. Ja jūs vēlaties aizsargāt sevi tagad, to var izdarīt, veicot dažas vienkāršas darbības. Vienkārši dodieties uz savu Google Chrome darbvirsmas ikonu un ar peles labo taustiņu noklikšķiniet uz tā, pēc tam uznirstošās izvēlnes apakšpusē izvēlieties "Properties".

Logā "Properties" (Īpašības) jūs redzēsiet teksta ievades lodziņu, kurā ir norāde "Target". Vienkārši noklikšķiniet šajā lodziņā un nospiediet pogu "Beigt" uz tastatūras. Pēc tam nospiediet "SPACE" un nokopējiet un ielīmējiet šo tekstu beigās.

--ssl-version-min = tls1

Nospiediet "Lietot", pēc tam noklikšķiniet uz "Turpināt" uznirstošajā logā, pēc tam nospiediet "Labi".

Tagad jūsu pārlūkprogramma automātiski noraidīs SSL 3.0 sertifikātus un pieņems tikai TLS 1.0 un jaunāku versiju. Ir vērts atzīmēt, ka, ja jūs palaidīsit pārlūku Chrome, izmantojot jebkuru citu saīsni savā datorā, tas neizmantos šo karodziņu.

Atspējojot Internet Explorer SSL 3.0

Microsoft vēl nav paziņojusi, ka viņi plāno risināt jautājumu par SSL 3.0, tāpēc vislabāk to atspējot pats, atverot izvēlni "Sākt" un ievadot "Interneta opcijas".

Pārejiet uz cilni "Papildu informācija" un ritiniet uz leju līdz sadaļai "Drošība", līdz tiek parādīti SSL un TLS opcijas, un pēc tam noņemiet iespēju izmantot SSL 3.0 un iespējojiet TLS.

Tādā veidā jūs varat būt pārliecināti, ka jūsu interneta pārlūkprogrammas ir drošas no iespējamiem POODLE uzbrukumiem.

Attēlu kredīts: Karen Flickr