Что такое уязвимость POODLE и как вы можете защитить себя?

Трудно охватить все эти интернет-катастрофы по мере их возникновения, и точно так же, как мы думали, что Интернет снова стал безопасным после Heartbleed и Shellshock пригрозили «покончить с жизнью, какой мы ее знаем», выходит POODLE.

Не слишком напрягайтесь, потому что это не так грозно, как кажется. Правда заключается в том, что это вопрос, который нужно беспокоить, но есть простые шаги, которые вы можете предпринять, чтобы обезопасить себя.

Что такое пудель?

Давайте начнем с первого этажа. Что такое пудель? Во-первых, это означает « Заполнение Oracle на более ранней версии устаревшего шифрования ». Проблема безопасности в точности соответствует названию — понижение версии протокола, которое позволяет использовать устаревшую форму шифрования. Эта проблема привлекла внимание всего мира в этом месяце, когда Google выпустил статью под названием «Укусы этого пуделя: использование отступления от SSL 3.0».

Проще говоря, если злоумышленник, использующий атаку «человек в середине», может взять под контроль маршрутизатор в общедоступной точке доступа, он может заставить ваш браузер перейти на SSL 3.0 (более старый протокол) вместо использования гораздо более современный TLS (Transport Layer Security), а затем использовать дыру в безопасности SSL для взлома сеансов браузера. Так как эта проблема в протоколе, все, что использует SSL, затронуто.

Пока и сервер, и клиент (веб-браузер) поддерживают SSL 3.0, злоумышленник может принудительно понизить протокол, поэтому даже если ваш браузер пытается использовать TLS, он вынужден вместо этого использовать SSL. Единственный ответ для обеих сторон — отменить поддержку SSL, исключив возможность понижения.

Если вы в основном выходите из дома и не пользуетесь публичными точками доступа, вероятность нанесения ущерба довольно мала, и вы можете просто предпринять простые шаги, описанные далее в этой статье, чтобы защитить себя. Если вы часто используете публичную точку доступа, возможно, пришло время подумать об использовании VPN.

Как мы можем решить эту проблему?

Поскольку нет способа решить проблемы с SSL, единственное решение для производителей браузеров и веб-серверов — обновить все, чтобы удалить поддержку SSL и требовать только шифрование TLS.

Google и Firefox уже объявили, что в будущем они прекратят поддержку, и хотя мы (пока) не слышали этого от Microsoft, конечному пользователю чрезвычайно легко отключить SSL 3.0 в IE. Большинство крупных веб-компаний прекращают поддержку SSL после того, как эта проблема обнаружилась, но всем понадобится время, чтобы это сделать.

Как потребитель вы можете удалить поддержку SSL из вашего браузера, используя один из методов, описанных ниже — или, если вы используете Firefox или Google Chrome и не используете горячие точки все время, вы можете подождать, пока они обновят браузер. Или вы можете убедиться, что решили проблему самостоятельно.

Отключение SSL 3.0 в Mozilla Firefox

Если вы являетесь пользователем Mozilla Firefox, ваши проблемы с SSL 3.0 будут сняты с постели 25 ноября 2014 года, когда выйдет Fireox 34. Единственная проблема в том, что это еще не ноябрь, и вам нужно принять меры, чтобы защитить себя сейчас. Начните с открытия браузера Firefox и перехода на страницу загрузки контроля версий SSL в Firefox.

После успешной установки вы можете ввести «about: addons» в панель навигации и выбрать расширение «Контроль версий SSL». Вы можете нажать «Опции», чтобы увидеть настройки для расширения. Убедитесь, что «Автоматические обновления» включены и «Минимальная версия SSL» установлена ​​на «TLS 1.0».

После выхода Firefox 34 вы можете отключить или удалить расширение.

Отключение SSL 3.0 в Google Chrome

Если вы являетесь пользователем Google Chrome, вы можете быть уверены, что SSL 3.0 будет отключен в ближайшие месяцы, хотя они еще не установили дату. Если вы хотите защитить себя сейчас, это можно сделать за несколько простых шагов. Просто перейдите к значку Google Chrome на рабочем столе, щелкните его правой кнопкой мыши и выберите «Свойства» в нижней части всплывающего меню.

В окне «Свойства» вы увидите поле ввода текста с надписью «Цель». Просто щелкните в этом поле и нажмите кнопку «Конец» на клавиатуре. Далее нажмите «Пробел», скопируйте и вставьте этот текст в конец.

 - SSL-версия-мин = TLS1 

Нажмите «Применить», затем нажмите «Продолжить» во всплывающем окне, затем нажмите «ОК».

Теперь ваш браузер будет автоматически отклонять сертификаты SSL 3.0 и принимать только TLS 1.0 и выше. Стоит отметить, что если вы запустите Chrome с помощью любого другого ярлыка на вашем компьютере, он не будет использовать этот флаг.

Отключение SSL 3.0 в Internet Explorer

Microsoft еще не объявила, когда планирует решить проблему SSL 3.0, поэтому лучше отключить ее самостоятельно, открыв меню «Пуск» и введя «Свойства обозревателя».

Перейдите на вкладку «Дополнительно» и прокрутите вниз до раздела «Безопасность», пока не увидите параметры SSL и TLS, а затем снимите флажок «Использовать SSL 3.0» и включите вместо него TLS.

Таким образом, вы можете быть уверены, что все ваши интернет-браузеры защищены от любых потенциальных атак POODLE.

Изображение предоставлено: Карен на Flickr

Оцените статью
TutoryBird.Ru
Добавить комментарий