reklama

Kdy se lidem nelíbí štěně? Když vědí, že to není štěně, ale zneužití prohlížeče zaměřené na odcizení jejich životně důležitých informací. POODLE (Ppřidání Ózávodit Ón Dvlastní Legacy Encryption), o kterém mluvíme, je vážný bezpečnostní útok.

Jako bezpečnostní zneužití může ovlivnit všechny webové prohlížeče, a proto kterýkoli z nás. Pojďme zjistit, co POODLE je, co dělá a co můžete udělat, abyste zabránili kousat vás.

Základní informace

K pochopení POODLE potřebujete trochu vědět o SSL a TLS Co je HTTPS a jak povolit zabezpečená připojení ve výchozím nastaveníBezpečnostní obavy se šíří široko daleko a dosáhly popředí většiny myslí všech. Termíny jako antivirus nebo firewall již nejsou zvláštní slovní zásobou a jsou nejen chápány, ale také používány ... Přečtěte si více . Jsou to dva kryptografické protokoly, které byly vyvinuty s cílem chránit vaši důležitou webovou komunikaci. Když jdete na web a uvidíte HTTPS: // před webovou adresou používáte SSL / TLS. SSL (Secure Socket Layer) a TLS (

Transport Spřesnost Layer) jsou dva velmi odlišné protokoly, ale většina lidí je prostě spojuje a volá jim SSL. SSL byl ve skutečnosti nahrazen protokolem TLS asi před deseti lety jako de facto standard pro kryptografii, SSL se stále široce používá. To dělá POODLE nebezpečným.

Když navštívíte web, počítač, který vám stránku poskytuje (webový server) je schopen několika úrovní kryptografie zabezpečení, odkudkoli od TLSv1.2, nejnovějšího a nejbezpečnějšího protokolu, až po SSLv3, starší a méně bezpečný protokol. Díky tomu se váš prohlížeč a webový server budou moci připojit se stejným protokolem, aby mohli bezpečně mluvit. To je základní způsob, kterému se webové prohlížeče a servery snaží zabránit útoky uprostřed člověka Co je to Man-in-the-Middle Attack? Bezpečnostní žargon vysvětlilPokud jste již slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, toto je článek pro vás. Přečtěte si více , jako POODLE.

Co dělá POODLE?

POODLE se pokouší vynutit spojení mezi webovým prohlížečem a serverem a přejít na nižší verzi SSLv3. Pokud tak učiní, může útočník získat informace prostého textu z komunikace. To znamená, že mají přístup k souborům cookie, které se často používají k ukládání informací, některé z nich mohou být osobní a citlivé povahy Co je to cookie a co to má společného s mým soukromí? [MakeUseOf vysvětluje]Většina lidí ví, že jsou soubory cookie rozptýlené po celém internetu, připravené a ochotné je pohltit každý, kdo je najde jako první. Počkej co? To nemůže být správné. Ano, existují cookies ... Přečtěte si více . Útočník, který s touto informací udělá, je hádat, ale nikdy není nic dobrého.

Na druhou stranu útok POODLE není pro útočníka nejjednodušší cestou, jak získat vaše informace. Může to trvat stovky, až tisíce, pokusů dostat útok POODLE na někoho. Takže je to něco, čeho se musíme obávat, není to však nutně tak špatné jako nedávné vydání Heartbleed Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Přečtěte si více .

Jak se mohu chránit před POODLE?

Naštěstí je to docela snadné. Nejdříve se podívejme, jestli jste zranitelní POODLE. Jednoduše přejděte na web POODLETest.com. Pokud vidíte pudlíka, musíte udělat nějaké úklid. Pokud vidíte terén Springfield, váš prohlížeč je dobrý. Pro ty, kteří jsou více důvtipní, podívejte se Test klienta SSL společnosti Qualys SSL. Poskytuje podrobnější podrobnosti.

pudl-ne-pudl

Základním principem je deaktivace podpory SSLv3 ve webovém prohlížeči. Pokud je zakázána, POODLE NEMŮŽE váš prohlížeč downgradovat. Podívejme se, jak to provést v prohlížečích Chrome, Internet Explorer a Firefox.

Uvědomte si, že mnoho webů stále chce používat SSLv3. Pokud ji zakážete, nemusí tyto weby fungovat stejně dobře jako dříve. Nebylo by na škodu poslat této společnosti pěkný e-mail s odkazem na tento článek, aby si byli tohoto problému vědomi. Doufejme, že upgradují na TLS a vše bude zase dobré.

Chrome

Najděte zástupce, který používáte ke spuštění prohlížeče Chrome. Klikněte na něj pravým tlačítkem a poté klikněte na Vlastnosti.

chrome-pudl-step-1

Když Vlastnosti Otevře se okno, najděte pole s názvem cílová. Měla by existovat dlouhá cesta k umístění souboru Chrome. Mělo by to vypadat takto: „C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe“ nebo „C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe“.

chrome-pudl-step-2

Kliknutím těsně za poslední uvozovku a stisknutím mezerníku vytvoříte mezeru. Nyní zadejte následující:

 ––Ssl-version-min = tls1

Můžete to také zkopírovat a vložit odtud. To, co Chrome říká, je použít TLSv1 jako nejnižší verzi zabezpečení prohlížeče Chrome. Klikněte na Aplikovat ve spodní části okna a při příštím otevření prohlížeče Chrome bude POODLE zabezpečeno.

internet Explorer

Otevřete prohlížeč Internet Explorer a klikněte na ikonu Nastavení ikona. Je to ten, který vypadá jako výstroj. Nyní klikněte na Možnosti internetu. Otevře se nové okno.

internet-explorer-ie-pudl-step-1

Na pravé straně uvidíte kartu označenou Pokročilý - Klikněte na to. V Nastavení oblast, přejděte dolů, dokud neuvidíte možnosti Použít SSL 2.0 a Použít SSL 3.0.

internet-explorer-ie-pudl-step-2

Pokud je v těchto dvou políčkách zaškrtnutí, zrušte zaškrtnutí kliknutím na ně. Ujistěte se, že jsou políčka označena Použijte TLS 1.o, Use TLS 1.1 a Use TLS 1.2 jsou zkontrolovány. (Pokud nemáte všechny tři tyto TLS boxy, měli byste aktualizujte svůj Internet Explorer.) Poté klikněte na Aplikovat tlačítko a OK knoflík. Váš internetový prohlížeč je nyní ověřen POODLE.

Firefox

Pokud jste fanouškem Firefoxu, zde je návod, jak lišce překonat POODLE. Stačí jít do Firefoxu Řízení verze SSL 0.2 Na stránce Add-On stáhněte a nainstalujte doplněk SSL Version Control 0.2. Je to tak snadné.

add-on firefox-poodle-ssl-version-control-add

Firefox také oznámil, že jeho příští verze, Firefox 34, deaktivuje podporu pro SSLv3. Tato verze však podle svých webových stránek nebude vydána až někdy v listopadu.

POODLE bude Pooched

Jakmile většina lidí POODLE-proof jejich prohlížeče a většina webových serverů přestane používat SSLv3, POODLE již nebude problém. K dispozici je také nástroj známý jako TLS_FALLBACK_SCSV které bylo vyvinuto, které mohou implementovat webové servery a programátoři prohlížečů. Tento nástroj bohužel vyžaduje, aby jej měl webový server i prohlížeč. To bude nějakou dobu trvat, než se všichni implementují. Teprve potom SSLv3 půjde na vedlejší kolej, jak by to mělo být před deseti lety. Šírejte slovo a udělejte z webu bezpečnější místo.

Obrazové kredity: Rozzlobený pudl, HTTPS vektorový obrázek přes Shutterstock.

S více než 20 let zkušeností v oblasti IT, školení a technických řemesel je mou touhou podělit se o to, co jsem se naučil, s kýmkoli jiným, kdo se chce učit. Snažím se dělat co nejlepší práci nejlepším možným způsobem as trochou humoru.