Negalima per daug dirbti, nes tai nėra toks grėsmingas, kaip skamba. Tiesa ta, kad tai yra klausimas, dėl kurio reikia rūpintis, tačiau yra paprastų veiksmų, kuriuos galite imtis, kad apsaugotumėte save.
Kas yra POODLE?
Pradėkime pirmame aukšte. Kas yra POODLE? Pirmiausia tai reiškia "Įklijavimas "Oracle" į pažemintą "Legacy" šifravimą"Saugumo klausimas yra būtent tai, ką nurodo pavadinimas, protokolo pakėlimas, leidžiantis išnaudoti pasenusią šifravimo formą. Šis klausimas atkreipė dėmesį į pasaulio dėmesį šį mėnesį, kai "Google" paskelbė straipsnį "Šis POODLE Bites: išnaudojimas" SSL 3.0 Fallback ".
Tai supaprastinant, jei užpuolikas, naudojantis "Man-In-The-Middle" ataką, gali kontroliuoti maršrutizatorių viešojoje viešojoje vietoje, gali priversti naršyklę pereiti prie SSL 3.0 (senesnio protokolo), o ne naudoti daug labiau modernaus TLS ("Transport Layer Security"), tada naudokite saugumo skylę SSL, kad užgrobtumėte naršyklės seansus. Kadangi ši problema yra protokole, tai turi įtakos viskas, kas naudoja SSL.
Kol serveris ir klientas (žiniatinklio naršyklė) palaiko SSL 3.0, užpuolikas gali priversti pakartotinai keisti protokolą, taigi, net jei jūsų naršyklė bando naudoti TLS, tai galų gale priversta naudoti SSL. Vienintelis atsakymas yra iš abiejų pusių arba iš abiejų pusių, jei norite pašalinti SSL palaikymą, pašalinus galimybę jį sumažinti.
Jei pirmiausia naršote iš namų ir nenaudojate viešų taškų, žalos galimybė yra gana žema, o vėliau galite paprasčiausiai išsiaiškinti veiksmus, nurodytus straipsnyje, kad apsisaugotumėte. Jei dažnai naudojate viešą interneto prieigos tašką, gali būti laiko galvoti apie VPN naudojimą.
Kaip mes galime išspręsti problemą?
Kadangi negalima išspręsti su SSL susijusių problemų, vienintelis sprendimas yra naršyklių kūrėjams ir žiniatinklio serveriams atnaujinti viską, kad būtų pašalintas SSL palaikymas ir reikalingas tik TLS šifravimas.
"Google" ir "Firefox" jau paskelbė, kad ateityje jie pašalins paramą, o kol mes dar negavome (taip pat) iš "Microsoft", tai labai paprasta, nes galutiniam vartotojui labai sunku išjungti "IE" SSL 3.0. Dauguma didelių žiniatinklio įmonių pašalina SSL palaikymą po šios problemos atsiradimo, bet tai užtruks šiek tiek laiko.
Kaip vartotojas, galite pašalinti SSL palaikymą iš naršyklės naudodamiesi vienu iš toliau aprašytų metodų - arba jei naudojate "Firefox" arba "Google Chrome" ir visada nenaudojate viešosios interneto prieigos taškų, galite palaukti, kol jie atnaujins naršyklę. Arba galite įsitikinti, kad patys išsprendėte problemą.
"Mozilla Firefox" "SSL 3.0" išjungimas
Jei esate "Mozilla Firefox" naudotojas, jūsų "SSL 3.0" susirūpinimas bus uždėtas 2014 m. Lapkričio 25 d., Kai "Fireox 34" bus paleistas. Viena problema yra tai, kad dar nėra lapkritį, ir jūs turite imtis veiksmų dabar apsisaugoti. Pradėkite, atidarę savo "Firefox" naršyklę ir naršydami į "Firefox" atsisiųsto "SSL Version Control" puslapį.
"Google Chrome" išjungiamas "SSL 3.0"
Jei esate "Google Chrome" naudotojas, galite būti tikri, kad SSL 3.0 bus išjungtas per artimiausius mėnesius, nors jie dar nenustatė datos. Jei norite dabar apsisaugoti, tai gali būti padaryta keliais paprastais žingsniais. Tiesiog eikite į savo "Google Chrome" darbalaukio piktogramą ir dešiniuoju pelės mygtuku spustelėkite ją, tada išskleidžiamajame meniu apačioje pasirinkite "Ypatybės".
--ssl-version-min=tls1
Dabar jūsų naršyklė automatiškai atmes SSL 3.0 sertifikatus ir priims tik TLS 1.0 ir naujesnę versiją. Verta paminėti, kad jei paleisite "Chrome" naudodami bet kurį kitą savo kompiuteryje esančią nuorodą, ji nenaudos šios vėliavos.
Išjungimas "Internet Explorer 3.0" SSL 3.0
"Microsoft" dar nepranešė, kai ketina spręsti "SSL 3.0" problemą, todėl geriausia ją išjungti, atidarius meniu "Pradėti" ir įvedus "Internet Options".
Vaizdo kreditas: Karen Flickr