SSL 3.0 yra negyvas! Apsaugokite naršyklę nuo Pudelio atakos

Turinys:

SSL 3.0 yra negyvas! Apsaugokite naršyklę nuo Pudelio atakos
SSL 3.0 yra negyvas! Apsaugokite naršyklę nuo Pudelio atakos
Anonim

Naudojant pažeidžiamumą SSL 3.0, užpuolikai gali injekuoti kenkėjišką kodą į savo kompiuterį ir jį kompromisuoti. Jie taip pat gali pakenkti žiniatinklio prieglobos serveriams, naudojantiems tą patį SSL 3.0. Dauguma naršyklių vis dar palaiko SSL3, nes dauguma žiniatinklio serverių vis dar naudoja SSL 3.0, tokius kaip prisijungimas, bet kokios formos užpildymas ir pan.

Pudelio saugumo ataka

Image
Image

Secure Sockets Layer arba SSL yra kriptografinis protokolas, skirtas perduoti informaciją internetu. Dabar jį viršijo Transporto sluoksnio saugumas arba TLS.

The Pudelis ataka leidžia nusikaltėliui internete užgrobti duomenis, siunčiamus per SSL3 ryšį. Ne tik jis gali užkirsti kelią duomenims, bet ir internetinis nusikaltėlis gali įterpti savo duomenis į ryšį, todėl internetinė svetainė tiki, kad ji atsirado naršyklėje. Panašiai, naršyklė mano, kad kenksmingi duomenys gaunami iš žiniatinklio serverio.

POODLE yra trumpas Įklijavimas "Oracle" į pažemintą "Legacy" šifravimą. Tai yra protokolo trūkumas, kuris nėra susijęs su įgyvendinimu. Tai reiškia, kad neatsižvelgiant į tai, kaip SSL3 įdiegia naršyklės ar kompiuteriai, pažeidžiamas užpuolikų naudojimas. Vienintelis būdas apsisaugoti nuo įsilaužimo yra atsisakyti SSL3.0 jūsų naršyklėse ir jūsų žiniatinklio prieglobos serveriuose.

Galite išbandyti naršyklių pažeidžiamumą apsilankę šioje svetainėje naudodami naršyklę, kurią norite patikrinti: ssllabs.com.

Išjungti SSL 3.0

Norėdami apsisaugoti nuo Poodle saugumo atakų, galbūt norėsite pašalinti arba užblokuoti SSL 3.0 savo naršyklėje.

Internet Explorer: Atidarykite dialogo langą "Internet Options", esantį valdymo skydo, ir eikite į skirtuką Išplėstinė. Patikrinkite, ar naudojate SSL 3.0 ir atžymėkite jį.

"Microsoft" išleido "Fix It", kuris leidžia vartotojams "Internet Explorer" išjungti "SSL 3.0". "Microsoft" taip pat pranešė, kad ateinančiais mėnesiais "SSL 3.0" bus išjungtas numatytoje "Internet Explorer" ir "Microsoft" interneto paslaugų konfigūracijoje ir rekomenduoja klientams perkelti klientus ir paslaugas į saugesnius saugumo protokolus, pvz., TLS 1.0, TLS 1.1 arba TLS 1.2.
"Microsoft" išleido "Fix It", kuris leidžia vartotojams "Internet Explorer" išjungti "SSL 3.0". "Microsoft" taip pat pranešė, kad ateinančiais mėnesiais "SSL 3.0" bus išjungtas numatytoje "Internet Explorer" ir "Microsoft" interneto paslaugų konfigūracijoje ir rekomenduoja klientams perkelti klientus ir paslaugas į saugesnius saugumo protokolus, pvz., TLS 1.0, TLS 1.1 arba TLS 1.2.

F irefox: Norėdami gauti parinktį išjungti SSL3, adreso juostoje įrašykite "about: config". Ieškoti security.tls.version.min rezultatuose arba naudoti paieškos juostą, kad galėtumėte jį ieškoti. Dukart spustelėkite eilutę ir pakeiskite vertę nuo 0 iki 1. Tai privers Firefox naudoti tik TLS1.0 ir aukštesnius, taip išjungiant SSL3.0.

"Firefox" jau sakė, kad kitame išleidime bus išjungta "SSL 3.0", nes jie išjungė "Java 6", kai buvo nustatyta, kad ji yra labai pažeidžiama.

" Google Chrome": Tai nėra matoma Nustatymuose. Prie "Chrome" spartųjį klavišą reikia pridėti parametrą, kad jis išjungtų SSL3 ir veiktų tik TLS. Dešiniuoju pelės mygtuku spustelėkite jo nuorodą ir pasirinkite Ypatybės. Laukelyje, pažymėtame Tikslas, pridėti -Ssl-version-min = tls1. Taigi jūsų kelias turėtų būti toks:

'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1

Netgi "Google" sakė, kad artimiausiais mėnesiais ji tikisi visiškai pašalinti "SSL 3.0" palaikymą iš visų klientų produkcijos

Svetainių savininkai arba Kompiuteriai: Kaip svetainės savininkas ar žiniatinklio prieglobos serveris, turėtumėte kuo greičiau atsisakyti SSL 3 savo serveriuose

Norėdami gauti išsamią informaciją apie POODLE išpuolį ir SSL 3.0 pažeidžiamumą, apsilankykite oracle.com.

Susijusios žinutės:

  • "Google Chrome" "Windows" naudotojų patarimai ir gudrybės
  • Kas yra kompiuterinės apsaugos pažeidžiamumas dėl programinės įrangos pažeidžiamumo ir "zero-day" pažeidžiamumas?
  • Alternatyvių naršyklių sąrašas, skirtas Windows
  • Kenkėjiškų programų šalinimo vadovas ir įrankiai pradedantiesiems
  • Ką reiškia "Zero Day" ataka, išnaudojimas arba pažeidžiamumas

Rekomenduojamas: