Reklama

Kiedy ludzie nie lubią szczeniaka? Gdy wiedzą, że to nie szczeniak, ale exploit przeglądarki, którego celem jest kradzież ważnych informacji. POODLE (P.dodawanie Ocud On rewłasna ocena L.egacy mincryption), o którym mówimy, to poważny atak bezpieczeństwa.

Jako exploit bezpieczeństwa może wpływać na wszystkie przeglądarki internetowe, a zatem na każdą z nas. Dowiedzmy się, czym jest POODLE, co robi i co możesz zrobić, aby go nie gryźć.

Podstawowe informacje

Aby zrozumieć POODLE, musisz się trochę dowiedzieć o SSL i TLS Co to jest HTTPS i jak włączyć bezpieczne połączenia domyślnieObawy związane z bezpieczeństwem rozprzestrzeniają się na szeroką skalę i dotarły na pierwszy plan większości. Terminy takie jak antywirus lub zapora ogniowa nie są już dziwnym słownictwem i są nie tylko zrozumiałe, ale również używane przez ... Czytaj więcej . Są to dwa protokoły kryptograficzne opracowane w celu ochrony ważnej komunikacji internetowej. Kiedy idziesz na stronę internetową i widzisz HTTPS: //

instagram viewer
przed adresem internetowym używasz protokołu SSL / TLS. SSL (S.ecure S.ocket L.ayer) i TLS (T.ransport S.ekologia L.ayer) to dwa bardzo różne protokoły, ale większość ludzi po prostu łączy je i nazywa SSL. SSL został faktycznie zastąpiony protokołem TLS około dziesięć lat temu jako de facto standard w kryptografii, ale SSL jest nadal w powszechnym użyciu. To sprawia, że ​​POODLE jest niebezpieczny.

Gdy odwiedzasz witrynę, komputer, który obsługuje tę stronę (serwer internetowy) jest zdolny do kilku poziomów kryptografia bezpieczeństwo w dowolnym miejscu, od TLSv1.2, najnowszego i bezpiecznego protokołu, po SSLv3, starszy i mniej bezpieczny protokół. Dzięki temu przeglądarka i serwer WWW mogą łączyć się z tym samym protokołem, aby móc bezpiecznie rozmawiać. Jest to podstawowy sposób, któremu przeglądarki i serwery próbują zapobiec ataki typu man-in-the-middle Co to jest atak man-in-the-Middle? Wyjaśnienie żargonu bezpieczeństwaJeśli słyszałeś o atakach typu „man-in-the-middle”, ale nie jesteś pewien, co to oznacza, ten artykuł jest dla Ciebie. Czytaj więcej , jak POODLE.

Co robi POODLE?

POODLE próbuje wymusić połączenie między przeglądarką internetową a serwerem w celu przejścia na SSLv3. Jeśli to zrobi, atakujący może uzyskać informację tekstową z komunikacji. Oznacza to, że mogą uzyskać dostęp do plików cookie, które często służą do przechowywania informacji, niektóre z nich mogą mieć charakter osobisty i wrażliwy Co to jest plik cookie i co ma wspólnego z moją prywatnością? [MakeUseOf wyjaśnia]Większość ludzi wie, że w Internecie są porozrzucane ciasteczka, gotowe i chętne do zjedzenia przez każdego, kto je pierwszy znajdzie. Czekaj, co? To nie może być prawda. Tak, są pliki cookie ... Czytaj więcej . To, co atakujący robi z tymi informacjami, jest przypuszczalne, ale to nigdy nie jest nic dobrego.

Z drugiej strony atak POODLE nie jest najłatwiejszym sposobem dla atakującego na uzyskanie twoich informacji. Może to wymagać setek, a nawet tysięcy prób, aby atak POODLE zadziałał na kimś. Dlatego należy się tym przejmować, ale niekoniecznie jest tak zły jak ostatni problem Heartbleed Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Czytaj więcej .

Jak mogę się chronić przed pudlem?

Na szczęście jest to dość łatwe. Najpierw sprawdźmy, czy jesteś wrażliwy na POODLE. Po prostu przejdź do strony POODLETest.com. Jeśli zobaczysz pudla, masz trochę do zrobienia. Jeśli zobaczysz Springfield Terrier, Twoja przeglądarka jest dobra. Dla tych, którzy są bardziej obeznani z technologią, sprawdź Test klienta SSL Qualys SSL Labs. Zapewnia bardziej szczegółowe szczegóły.

pudel-nie-pudel

Podstawową zasadą jest wyłączenie obsługi protokołu SSLv3 w przeglądarce internetowej. Jeśli jest wyłączone, POODLE NIE może przywrócić do niego wersji przeglądarki. Zobaczmy, jak to zrobić w Chrome, Internet Explorer i Firefox.

Należy pamiętać, że wiele witryn nadal chce używać protokołu SSLv3. Jeśli ją wyłączysz, te witryny mogą nie działać tak dobrze dla Ciebie, jak kiedyś. Przekazanie tej firmie miłego e-maila z linkiem do tego artykułu nie zaszkodzi, aby byli świadomi problemu. Mamy nadzieję, że uaktualnią się do TLS i wszystko znów będzie dobrze.

Chrom

Znajdź skrót, którego używasz do uruchamiania Chrome. Kliknij go prawym przyciskiem myszy, a następnie kliknij Nieruchomości.

chrome-pudel-krok-1

Kiedy Nieruchomości otworzy się okno, znajdź pole o nazwie Cel. Powinna istnieć długa ścieżka do miejsca, w którym znajduje się plik Chrome. Powinno to wyglądać następująco: „C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe” lub „C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe”.

chrome-pudel-krok-2

Kliknij tuż za ostatnim znakiem cudzysłowu i naciśnij spację, aby utworzyć spację. Teraz wpisz następujące polecenie:

 ––Ssl-version-min = tls1

Możesz również skopiować i wkleić to tutaj. Chodzi o to, aby Chrome użył TLSv1 jako najniższej wersji zabezpieczeń przeglądarki Chrome. Kliknij na Zastosować przycisk w dolnej części okna, a następnym razem, gdy otworzysz Chrome, będzie on zabezpieczony przed POODLE.

Internet Explorer

Otwórz przeglądarkę Internet Explorer i kliknij Ustawienia Ikona. To ten, który wygląda jak sprzęt. Teraz kliknij Opcje internetowe. Otworzy się nowe okno.

Internet-explorer-ie-pudel-krok-1

Po prawej stronie zobaczysz kartę oznaczoną etykietą zaawansowane - Kliknij na to. w Ustawienia obszar, przewiń w dół, aż zobaczysz opcje Użyj SSL 2.0 i Użyj SSL 3.0.

Internet-explorer-ie-pudel-krok-2

Jeśli w tych dwóch polach znajduje się znacznik wyboru, odznacz je, klikając je. Upewnij się, że pola oznaczone Użyj TLS 1.o, Użyj TLS 1.1 i Użyj TLS 1.2 są sprawdzane. (Jeśli nie masz wszystkich tych trzech pól TLS, powinieneś zaktualizuj swój Internet Explorer.) Następnie kliknij Zastosować przycisk i ok przycisk. Twój Internet Explorer jest teraz zabezpieczony przed POODLE.

Firefox

Jeśli jesteś fanem Firefoksa, oto jak pomóc lisowi przechytrzyć POODLE. Po prostu przejdź do przeglądarki Firefox Kontrola wersji SSL 0.2 Strona dodatków, a następnie pobierz i zainstaluj dodatek SSL Version Control 0.2. To takie proste.

firefox-poodle-ssl-version-control-add-on

Firefox ogłosił również, że jego następna wersja, Firefox 34, wyłączy obsługę SSLv3. Jednak zgodnie z ich witryną ta wersja zostanie wydana dopiero w listopadzie.

Pudel zostanie pooched

Gdy większość ludzi będzie zabezpieczać swoje przeglądarki za pomocą POODLE, a większość serwerów WWW przestanie używać SSLv3, POODLE nie będzie już problemem. Istnieje również narzędzie znane jako TLS_FALLBACK_SCSV który został opracowany przez serwery WWW i programistów przeglądarki, aby pomóc. Niestety, narzędzie to wymaga zarówno serwera WWW, jak i przeglądarki. To zajmie wszystkim wdrożenie. Tylko wtedy SSLv3 przejdzie na margines, tak jak powinno być dziesięć lat temu. Przekaż słowo i uczyń Internet bezpieczniejszym miejscem.

Kredyty obrazkowe: Zły Pudel, Grafika wektorowa HTTPS przez Shutterstock.

Mając ponad 20 lat doświadczenia w branży IT, szkoleniach i branżach technicznych, pragnę dzielić się tym, czego się nauczyłem z kimkolwiek innym, kto chce się uczyć. Staram się wykonywać najlepszą możliwą pracę w najlepszy możliwy sposób i z odrobiną humoru.