Hirdetés

Mikor nem szeretik az emberek a kölyökkutyát? Amikor tudják, hogy nem kölyökkutya, hanem egy böngésző kihasználja a létfontosságú információk ellopását. A POODLE (Phozzátéve Oracle On Downgraded Legacy Encryption), amiről beszélünk, egy súlyos biztonsági támadás.

Biztonsági célú kihasználásként az összes böngészőt érintheti, tehát bármelyiket is. Nézzük meg, mi a POODLE, mit csinál, és mit tehetünk annak megakadályozása érdekében, hogy megharapja.

Háttérinformáció

A POODLE megértéséhez kissé tudnia kell az SSL-ről és a TLS-ről Mi a HTTPS és hogyan lehet alapértelmezés szerint engedélyezni a biztonságos kapcsolatokatA biztonsági aggodalmak messzire és széles körben elterjedtek, és mindenki számára előtérbe kerültek. Az olyan kifejezések, mint az antivírus vagy a tűzfal, már nem furcsa szókincs, és ezeket nemcsak megértik, hanem használják ... Olvass tovább . Két kriptográfiai protokoll, amelyeket a fontos webes kommunikáció védelme érdekében fejlesztettek ki. Amikor ellátogat egy weboldalra, és látja

HTTPS: // a webcím előtt SSL / TLS-t használ. SSL (Secure Socket Layer) és a TLS (Transport SB IZTONSÁGON Layer) két nagyon különféle protokoll, de a legtöbb ember csak összerakja őket, és SSL-nek nevezi őket. Az SSL-t körülbelül tíz évvel ezelőtt valójában a TLS protokoll váltotta fel de facto A kriptográfia szabványa, az SSL azonban továbbra is széles körben használatban van. Ez az, ami veszélyesvé teszi a POODLE-t.

Amikor ellátogat egy webhelyre, az a számítógép, amely kiszolgálja az oldalt (web szerver) képes több szintre kriptográfia biztonság, bárhol a TLSv1.2-től, a legfrissebb és legbiztonságosabb protokolltól az SSLv3-ig, a régebbi és kevésbé biztonságos protokollig. Ez lehetővé teszi a böngésző és a webszerver számára, hogy ugyanazzal a protokollal csatlakozzon, így biztonságosan tudnak beszélni. Ez az az alapvető módszer, amelyet a böngészők és a kiszolgálók megpróbálnak megakadályozni ember-közép támadások Mi az a középtámadó támadás? A biztonsági zárószó magyarázataHa hallottál a „középső ember” támadásokról, de nem vagy biztos abban, hogy ez mit jelent, ez a cikk az Ön számára. Olvass tovább , mint a POODLE.

Mit csinál a POODLE?

A POODLE megpróbálja kényszeríteni a kapcsolatot a böngésző és a szerver között az SSLv3-ra való visszaállításra. Ha ezt megteszi, a támadó megkaphatja a szöveges információkat a kommunikációból. Ez azt jelenti, hogy hozzáférhetnek olyan sütikhez, amelyeket gyakran használnak információ tárolására, amelyek közül néhány személyes és érzékeny természetű lehet Mi a süti és mi köze van annak az adatvédelemhez? [MakeUseOf magyarázat]A legtöbb ember tudja, hogy vannak olyan sütik, amelyek szétszóródnak az interneten, készen állnak és hajlandóak arra, hogy mindenki el tudja fogyasztani, aki előbb megtalálja őket. Várj, mi? Ez nem lehet igaz. Igen, vannak sütik ... Olvass tovább . A támadó mit csinál ezzel az információval, azt bárki kitalálja, ám ez soha semmi jó.

A fejjel felfelé a POODLE támadás nem a legegyszerűbb módszer a támadó számára az információk megszerzésére. Több száz, sőt több ezerig is eltarthat olyan kísérlet, hogy a POODLE támadás valakire hatással legyen. Tehát aggódni kell valami miatt, azonban nem feltétlenül olyan rossz, mint a legutóbbi szívveréses probléma Szívverés - Mit tehetsz, hogy biztonságban maradj? Olvass tovább .

Hogyan tudom megvédeni magát a POODLE-tól?

Szerencsére meglehetősen egyszerű dolog ezt megtenni. Először is nézzük meg, hogy POODLE-e sebezhető-e. Egyszerűen látogasson el a POODLETest.com webhelyre. Ha uszkárt lát, akkor néhány tennivalót meg kell tennie. Ha látja a Springfield Terrier, akkor böngészője jó. Azok számára, akik tech-hozzáértés, nézd meg A Qualys SSL Labs SSL kliens tesztje. Mélyebb részleteket nyújt.

uszkár-nem-uszkár

Az alapelv az SSLv3 támogatás letiltása a böngészőben. Ha le van tiltva, a POODLE NEM tudja leminősíteni böngészőjét rá. Nézzük meg, hogyan lehet ezt megtenni a Chrome-ban, az Internet Explorerben és a Firefox-ban.

Légy tudatában annak, hogy sok webhely továbbra is használni kívánja az SSLv3-at. Ha letiltja, akkor előfordulhat, hogy ezek a webhelyek nem fognak olyan jól működni az Ön számára, mint valaha. Nem lenne fáj, ha szép e-mailt küld a társaságnak, amelyhez a cikkre mutató link kapcsolódik, hogy tisztában legyenek a problémával. Remélhetőleg frissülnek a TLS-re és ismét jók lesznek.

Króm

Keresse meg azt a parancsikont, amelyet a Chrome elindításához használ. Kattintson a jobb gombbal rá, majd kattintson a gombra Tulajdonságok.

króm-uszkár-step-1

Amikor az Tulajdonságok Megnyílik az ablak, keresse meg a nevű mezőt Cél. A Chrome-fájl hosszú útjának kell lennie. A következőnek kell kinéznie: “C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe” vagy “C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe”.

króm-uszkár-lépés-2

Kattintson közvetlenül az utolsó idézőjel után, és szóköz létrehozásához nyomja meg a szóközt. Most írja be a következőt:

 --ssl-változat-min = TLS1

Ide másolhatja és beillesztheti is. Ez azt mondja a Chrome-nak, hogy a TLSv1-et használja a Chrome legalacsonyabb biztonsági verziójának használatához. Kattintson a Alkalmaz gombot az ablak alján, és amikor legközelebb megnyitja a Chrome-ot, POODLE-védelemmel rendelkezik.

internet böngésző

Nyissa meg az Internet Explorer böngészőt, és kattintson a Beállítások ikon. Ez az, amely úgy néz ki, mint egy felszerelés. Most kattintson a gombra Internetes lehetőségek. Új ablak nyílik meg.

Internet-Explorer-ie-uszkár-step-1

A jobb oldalon a felirat látható Fejlett - kattintson rá. Ban,-ben Beállítások területen görgessen lefelé, amíg meg nem jelenik a lehetőségek Használja az SSL 2.0-t és az SSL 3.0-t.

Internet-Explorer-ie-uszkár-step-2

Ha a két négyzetben van egy pipa, akkor kattintson rá. Győződjön meg arról, hogy a dobozok fel vannak tüntetve A TLS 1.o, a TLS 1.1 és a TLS 1.2 használata ellenőrizve vannak. (Ha nem rendelkezik mind a három TLS mezővel, akkor ezt meg kell tennie frissítse az Internet Explorer böngészőt.) Ezután kattintson a Alkalmaz gombot, és a rendben gomb. Az Internet Explorer mostantól POODLE-védelemmel rendelkezik.

Firefox

Ha Ön a Firefox rajongója, itt olvashatja el, hogyan segíthet a róka túlmutatni a POODLE-t. Egyszerűen lépjen a Firefox webhelyére SSL verzióvezérlés 0.2 Add-On oldalon, majd töltse le és telepítse az SSL Version Control 0.2 kiegészítőt. Olyan egyszerű.

firefox-uszkár-ssl-version-control-add-on

A Firefox azt is bejelentette, hogy a következő verzió, a Firefox 34 letiltja az SSLv3 támogatását. Ezt a verziót azonban honlapjuk szerint valamikor novemberben adják ki.

POODLE lesz Pooched

Miután az emberek többsége POODLE-védett, böngészője és a webszerverek többsége abbahagyja az SSLv3 használatát, a POODLE nem lesz többé probléma. Van egy olyan eszköz is, amelyet TLS_FALLBACK_SCSV amelyet a webkiszolgálók és a böngésző-programozók tudnak segíteni. Sajnos ennek az eszköznek a webkiszolgálóra és a böngészőre is szükség van. Ehhez egy időbe telik, amíg mindenki végrehajtja. Csak akkor az SSLv3 menni fog az út mentén, ahogy egy évtizeddel ezelőtt kellett volna. Terjessze el a szót, és tegye biztonságosabbá az internetet.

Kép kreditek: Dühös uszkár, HTTPS vektor kép Shutterstockon keresztül.

Több mint 20 éves tapasztalattal rendelkezem az informatika, a képzés és a műszaki szakmák területén, és azt kívánom megosztani, amit megtanultam, bárki másval, aki hajlandó megtanulni. Arra törekszem, hogy a lehető legjobb munkát, a lehető legjobb módon és kis humorral tegyem.