Mark Lucas
0 
5221
631
Kada ljudi ne vole štene? Kad znaju da to nije štene, već preglednik koji iskorištava za krađu njihovih vitalnih podataka. POODLE (Pdodajući Oracle On Downgraded Legacy Encryption) o kojem govorimo ozbiljan je sigurnosni napad.
Kao sigurnosni podvig može utjecati na sve web-preglednike, a samim tim i na bilo koga od nas. Otkrijmo što je POODLE, što radi i što možete učiniti da spriječi da vas ugrize.
Osnovne informacije
Da biste razumjeli POODLE, morate znati malo o SSL-u i TLS-u Što je HTTPS i kako omogućiti sigurne veze po zadanom Što je HTTPS i kako omogućiti sigurne veze po zadanom Pitanja sigurnosti šire se daleko i široko i dostižu čelnu većinu svačiji um. Pojmovi poput antivirusa ili vatrozida više nisu čudni vokabular i ne samo da ih se razumije, nego ih i koriste… Riječ je o dva kriptografska protokola koji su razvijeni kako bi se zaštitila vaša važna web komunikacija. Kad odete na web stranicu i vidite HTTPS: // prije web adrese koristite SSL / TLS. SSL (Secure Socket Layer) i TLS (Transport Security Layer) dva su vrlo različita protokola, ali većina ih jednostavno grupiše i naziva ih SSL. SSL je zapravo zamijenjen TLS protokolom prije desetak godina kao zapravo standard za kriptografiju, ali SSL je i dalje u širokoj uporabi. To je ono što POODLE čini opasnim.
Kada posjetite web mjesto, računalo koje vam stranicu služi (web poslužitelj) je u mogućnosti na nekoliko razina sigurnosti kriptografije, bilo od TLSv1.2, najnovijeg i sigurnog protokola, do SSLv3, starijeg i manje sigurnog protokola. To omogućuje vašem pregledniku i web poslužitelju mogućnost povezivanja s istim protokolom kako bi mogli bezbrižno razgovarati. Ovo je osnovni način na koji web preglednici i poslužitelji pokušavaju spriječiti napade čovjeka u sredini Što je napad Čovjek u sredini? Sigurnosni žargon objasnio što je napad Čovjek u sredini? Objašnjen sigurnosni žargon Ako ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. , poput POODLE.
Što radi POODLE?
POODLE pokušava prisiliti vezu između vašeg web preglednika i poslužitelja da se prebaci na SSLv3. Ako to učini, napadač može dobiti opću tekstualnu informaciju iz komunikacije. To znači da mogu pristupati kolačićima koji se često koriste za pohranu podataka, od kojih bi neki mogli biti osobni i osjetljivi u prirodi Što je kolačić i kakve veze ima s mojom privatnošću? [MakeUseOf objašnjava] Što je kolačić i kakve to veze ima s mojom privatnošću? [MakeUseOf Explains] Većina ljudi zna da postoje kolačići razbacani po internetu, spremni i spremni da ih pojedu svi koji ih prvi pronađu. Čekaj, što? To ne može biti točno. Da, postoje kolačići…. Što napadač čini tim informacijama bilo je tko nagađati, ali nikad nije ništa dobro.
Naopako napad POODLE nije najlakši način da napadač dobije vaše podatke. Možda će biti potrebno stotine, pa i tisuće pokušaja da se POODLE napadi na nekome. Dakle, nešto bi vas trebalo zabrinuti, no nije nužno toliko loše kao nedavni izdavač Heartbleed-a Heartbleed - Što možete učiniti da ostanete sigurni? Srcem - Što možete učiniti da ostanete sigurni? .
Kako se mogu zaštititi od POODLE-a?
Srećom, to je prilično jednostavno učiniti. Prvo, prvo da vidimo da li ste POODLE ranjivi. Jednostavno idite na web stranicu POODLETest.com. Ako vidite pudlicu, morate se malo očistiti. Ako vidite Springfield terijer, dobro je otići u preglednik. Za one koji su pametniji, pogledajte test SSL klijenta tvrtke Qualys. Pruža više detaljnih detalja.
Temeljni princip je onemogućiti SSLv3 podršku u vašem web pregledniku. Ako je onemogućen, POODLE NE može smanjiti vaš preglednik na njega. Pogledajmo kako to učiniti u preglednicima Chrome, Internet Explorer i Firefox.
Imajte na umu, mnoge web stranice i dalje žele koristiti SSLv3. Ako je onemogućite, te web stranice možda neće raditi tako dobro kao nekad. Ne bi bilo šteta poslati toj tvrtki lijepu e-poštu s vezom na ovaj članak, tako da su svjesni problema. Nadamo se da će nadograditi na TLS i sve će opet biti dobro.
Krom
Pronađite prečac koji koristite za pokretanje Chromea. Kliknite desnom tipkom miša na nju, a zatim kliknite Nekretnine.
Kada Nekretnine otvara se prozor, pronađite polje s imenom Cilj. Trebao bi biti dug put do mjesta na kojem se nalazi datoteka Chrome. To bi trebalo izgledati: “C: \ programske datoteke (x86) \ Google \ Chrome \ Application \ chrome.exe” ili “C: \ programske datoteke \ Google \ Chrome \ Application \ chrome.exe”.
Kliknite odmah nakon posljednjeg navodnika i pritisnite svoju razmaknicu da biste stvorili razmak. Sada upišite sljedeće:
-SSL-verzija-min = tls1
To možete kopirati i zalijepiti odavde. Ono što nalaže Chromeu je korištenje TLSv1 kao najniže verzije sigurnosti za vaš Chrome preglednik. Klikni na primijeniti gumb na dnu prozora, a sljedeći put kada otvorite Chrome, bit će zaštićen POODLE.
Internet Explorer
Otvorite preglednik Internet Explorer i kliknite na postavke ikona. To je onaj koji izgleda poput zupčanika. Sada kliknite na Internet opcije. Otvorit će se novi prozor.
Na krajnjoj desnoj strani vidjet ćete karticu s oznakom Napredna - kliknite na nju. U postavke pomičite se prema dolje dok ne vidite mogućnosti Koristite SSL 2.0 i koristite SSL 3.0.
Ako se u ta dva okvira nalazi kvačica, poništite ih klikom na njih. Uvjerite se da su kutije označene Koristite TLS 1.o, koristite TLS 1.1 i koristite TLS 1.2 su provjereni. (Ako nemate sva tri navedena TLS okvira, trebali biste ažurirati Internet Explorer.) Zatim kliknite na primijeniti gumb i u redu dugme. Vaš Internet Explorer sad je zaštićen POODLE.
Firefox
Ako ste ljubitelj Firefoxa, evo kako pomoći lisici da nadmaši POODLE. Jednostavno otvorite Firefox-ovu stranicu SSL verzija kontrole 0.2, a zatim preuzmite i instalirajte dodatak SSL verzija kontrole 0.2. To je tako jednostavno.
Firefox je također objavio da će sljedeća verzija, Firefox 34, onemogućiti podršku za SSLv3. Međutim, ta verzija neće biti objavljena negdje u studenom, navodi njihova web stranica.
POODLE će biti pokošen
Jednom kada većina ljudi svoje preglednike zaštiće POODLE, a većina web poslužitelja prestane koristiti SSLv3, POODLE više neće biti problem. Tu je i alat poznat kao TLS_FALLBACK_SCSV koji je razvijen za web poslužitelje i programere preglednika koji mogu implementirati kako bi im pomogli. Nažalost, taj alat zahtijeva i web poslužitelj i preglednik da bi ga imali. To će trebati neko vrijeme da ih implementiraju svi. Tek tada će SSLv3 otići usput, kao što je trebao imati prije desetak godina. Raširite riječ i učinite Internet sigurnijim mjestom.
Slikovni krediti: Ljuti pudl, HTTPS vektorska slika putem Shutterstocka.