Домашняя » как » Что такое уязвимость POODLE и как вы можете защитить себя?

    Что такое уязвимость POODLE и как вы можете защитить себя?

    Трудно сосредоточиться на всех этих интернет-катастрофах, когда они происходят, и точно так же, как мы думали, что Интернет снова стал безопасным после Heartbleed и Shellshock пригрозили «покончить с жизнью, какой мы ее знаем», выходит POODLE.

    Не слишком напрягайтесь, потому что это не так грозно, как кажется. Правда в том, что это проблема, о которой нужно заботиться, но есть простые шаги, которые вы можете предпринять, чтобы защитить себя.

    Что такое пудель?

    Начнем с первого этажа. Что такое пудель? Во-первых, это означает «Заполнение Oracle на устаревшем устаревшем шифровании.«Проблема безопасности - именно то, что предлагает название, понижение протокола, которое позволяет использовать устаревшую форму шифрования. Эта проблема привлекла внимание всего мира в этом месяце, когда Google выпустил статью под названием «Укусы POODLE: использование отступления от SSL 3.0»..

    Чтобы объяснить это в более простых терминах, если злоумышленник, использующий атаку «человек в середине», может получить контроль над маршрутизатором в общедоступной точке доступа, он может заставить ваш браузер перейти на SSL 3.0 (более старый протокол) вместо использования гораздо более современный TLS (Transport Layer Security), а затем использовать дыру в безопасности SSL для взлома сеансов браузера. Так как эта проблема в протоколе, все, что использует SSL, затронуто.

    Пока и сервер, и клиент (веб-браузер) поддерживают SSL 3.0, злоумышленник может принудительно понизить протокол, поэтому даже если ваш браузер пытается использовать TLS, он вынужден вместо этого использовать SSL. Единственный ответ для обеих сторон - отменить поддержку SSL, исключив возможность понижения.

    Если вы в основном выходите из дома и не пользуетесь публичными точками доступа, вероятность нанесения ущерба довольно низкая, и вы можете просто предпринять простые шаги, описанные далее в этой статье, чтобы защитить себя. Если вы часто используете публичную точку доступа, возможно, пришло время подумать об использовании VPN.

    Как мы можем решить эту проблему?

    Поскольку невозможно решить проблемы с SSL, единственное решение для производителей браузеров и веб-серверов - обновить все, чтобы удалить поддержку SSL и требовать только шифрование TLS..

    Google и Firefox уже объявили, что в будущем они прекратят поддержку, и хотя мы (пока) не слышали этого от Microsoft, конечному пользователю чрезвычайно легко отключить SSL 3.0 в IE. Большинство крупных веб-компаний прекращают поддержку SSL после того, как эта проблема появилась, но всем потребуется время, чтобы это сделать..

    Как пользователь, вы можете удалить поддержку SSL из вашего браузера, используя один из методов, описанных ниже - или, если вы используете Firefox или Google Chrome и не используете горячие точки все время, вы можете подождать, пока они обновят браузер. Или вы можете убедиться, что вы решили проблему самостоятельно.

    Отключение SSL 3.0 в Mozilla Firefox

    Если вы являетесь пользователем Mozilla Firefox, ваши проблемы с SSL 3.0 будут сняты с рассмотрения 25 ноября 2014 года, когда выйдет Fireox 34. Единственная проблема в том, что это еще не ноябрь, и вам нужно принять меры, чтобы защитить себя сейчас. Начните с открытия браузера Firefox и перехода на страницу загрузки контроля версий SSL в Firefox.

    После успешной установки вы можете ввести «about: addons» в панель навигации и выбрать расширение «Контроль версий SSL». Вы можете нажать «Опции», чтобы увидеть настройки для расширения. Убедитесь, что «Автоматические обновления» включены и «Минимальная версия SSL» установлена ​​на «TLS 1.0».

    После выхода Firefox 34 вы можете свободно отключить или удалить расширение.

    Отключение SSL 3.0 в Google Chrome

    Если вы являетесь пользователем Google Chrome, вы можете быть уверены, что SSL 3.0 будет отключен в ближайшие месяцы, хотя они еще не установили дату. Если вы хотите защитить себя сейчас, это можно сделать за несколько простых шагов. Просто перейдите к значку Google Chrome на рабочем столе, щелкните его правой кнопкой мыши и выберите «Свойства» в нижней части всплывающего меню..

    В окне «Свойства» вы увидите поле ввода текста с надписью «Цель». Просто щелкните в этом поле и нажмите кнопку «Конец» на клавиатуре. Далее нажмите «Пробел», скопируйте и вставьте этот текст в конец.

    --SSL-версия-мин = TLS1

    Нажмите «Применить», затем нажмите «Продолжить» во всплывающем окне, затем нажмите «ОК».

    Теперь ваш браузер будет автоматически отклонять сертификаты SSL 3.0 и принимать только TLS 1.0 и выше. Стоит отметить, что если вы запустите Chrome с помощью любого другого ярлыка на вашем компьютере, он не будет использовать этот флаг.

    Отключение SSL 3.0 в Internet Explorer

    Microsoft еще не объявила, когда планирует решить проблему SSL 3.0, поэтому лучше отключить ее самостоятельно, открыв меню «Пуск» и введя «Свойства обозревателя».

    Перейдите на вкладку «Дополнительно» и прокрутите вниз до раздела «Безопасность», пока не увидите параметры SSL и TLS, а затем снимите флажок «Использовать SSL 3.0» и включите вместо него TLS..

    Таким образом, вы можете быть уверены, что все ваши интернет-браузеры защищены от любых потенциальных атак POODLE..

    Изображение предоставлено: Карен на Flickr