Reklama

Kedy sa ľuďom nepáči šteňa? Keď vedia, že to nie je šteňa, je to zneužitie prehliadača, ktorého cieľom je ukradnúť ich dôležité informácie. POODLE (Ppridanie Oracle On Downgraded Legacy Encryption), o ktorej hovoríme, je vážny bezpečnostný útok.

Ako bezpečnostné zneužitie môže mať vplyv na všetky webové prehliadače, a preto na každého z nás. Poďme zistiť, čo je POODLE, čo robí a čo môžete urobiť, aby ste zabránili hryzeniu vás.

Základné informácie

Aby ste porozumeli POODLE, musíte niečo vedieť o SSL a TLS Čo je protokol HTTPS a ako povoliť zabezpečené pripojenia podľa predvoleného nastaveniaBezpečnostné obavy sa šíria široko ďaleko a dostali sa do popredia väčšiny mysle každého. Výrazy ako antivírus alebo firewall už nie sú podivné slovníky a sú nielen chápané, ale tiež používané ... Čítaj viac . Sú to dva kryptografické protokoly, ktoré boli vyvinuté na ochranu vašej dôležitej webovej komunikácie. Keď idete na webovú stránku a uvidíte HTTPS: // pred webovou adresou používate SSL / TLS. SSL (

instagram viewer
Secure SPocket Layer) a TLS (Transport SEZPEČNOSŤ Layer) sú dva veľmi odlišné protokoly, ale väčšina ľudí ich jednoducho spojí a nazýva ich SSL. SSL bol v skutočnosti nahradený protokolom TLS asi pred desiatimi rokmi ako internet de facto štandard pre kryptografiu, SSL sa stále používa. To robí POODLE nebezpečným.

Keď navštívite webovú stránku, počítač, ktorý vám stránku poskytuje (webový server) je schopný niekoľkých úrovní kryptografie zabezpečenie, odkiaľkoľvek od TLSv1.2, najnovšieho a zabezpečeného protokolu, po SSLv3, starší a menej bezpečný protokol. To umožňuje vášmu prehliadaču a webovému serveru pripojiť sa k rovnakému protokolu, aby mohli bezpečne hovoriť. Toto je základný spôsob, ktorému sa webové prehliadače a servery snažia zabrániť útoky muža v strede Čo je to útok typu Človek v strede? Vysvetlenie bezpečnostného žargónuAk ste už počuli o útokoch typu „človek v strede“, ale nie ste si úplne istí, čo to znamená, toto je článok pre vás. Čítaj viac , napríklad POODLE.

Čo robí POODLE?

POODLE sa pokúša vynútiť spojenie medzi webovým prehliadačom a serverom a prejsť na SSLv3. Ak tak urobí, môže útočník získať z komunikácie informácie vo formáte obyčajného textu. To znamená, že majú prístup k súborom cookie, ktoré sa často používajú na ukladanie informácií, niektoré z nich môžu byť svojou povahou osobné a citlivé Čo je to cookies a čo to má spoločné s mojím súkromím? [MakeUseOf vysvetľuje]Väčšina ľudí vie, že sú súbory cookie roztrúsené po celom internete, pripravené a pripravené na konzumáciu tým, kto ich nájde ako prvý. Počkaj čo? To nemôže byť správne. Áno, existujú súbory cookie ... Čítaj viac . Útočník s týmito informáciami robí hádanie, ale nikdy nie je nič dobré.

Na druhú stranu, útok POODLE nie je pre útočník najjednoduchším spôsobom, ako získať vaše informácie. Môže to trvať až stovky, až tisíce pokusov, aby útok POODLE pracoval na niekom. Takže je to niečo, čoho sa treba obávať, nie je to však nevyhnutne také zlé ako to nedávne vydanie Heartbleed Heartbleed - Čo môžete urobiť, aby ste zostali v bezpečí? Čítaj viac .

Ako sa môžem chrániť pred POODLE?

Našťastie je to dosť ľahké. Najprv treba zistiť, či ste zraniteľní POODLE. Jednoducho prejdite na webovú stránku POODLETest.com. Ak vidíte pudla, musíte urobiť nejaké čistenie. Ak vidíte terén Springfield, váš prehliadač je dobrý. Pre tých, ktorí sú viac dôvtipní, pozrite sa Test klienta SSL spoločnosti Qualys SSL. Poskytuje podrobnejšie informácie.

pudel-ne-poodle

Základným princípom je zakázať podporu SSLv3 vo webovom prehliadači. Ak je táto funkcia zakázaná, POODLE NEMÔŽE váš prehliadač prejsť na nižšiu verziu. Pozrime sa, ako to urobiť v prehliadačoch Chrome, Internet Explorer a Firefox.

Uvedomte si, že veľa webových stránok stále chce používať protokol SSLv3. Ak ho zakážete, tieto stránky nemusia fungovať tak dobre ako kedysi. Neubližovalo by tejto spoločnosti poslať pekný e-mail s odkazom na tento článok, aby si boli vedomí problému. Dúfajme, že sa upgradujú na TLS a všetko bude opäť dobré.

chróm

Nájdite odkaz, ktorý používate na spustenie prehliadača Chrome. Kliknite pravým tlačidlom myši a potom kliknite na položku vlastnosti.

chróm-pudel-step-1

Keď vlastnosti otvorí sa okno, vyhľadajte pole s názvom terč. Tam, kde sa nachádza súbor Chrome, by mala existovať dlhá cesta. Malo by to vyzerať takto: „C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe“ alebo „C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe“.

chróm-pudel stupni 2

Kliknutím tesne za poslednú úvodzovku a stlačením medzerníka vytvorte medzeru. Teraz napíšte:

 --ssl-verzia-min = TLS1

Odtiaľto to môžete skopírovať a vložiť. Čo má prehliadaču Chrome povedať, je použiť TLSv1 ako najnižšiu verziu zabezpečenia prehliadača Chrome. Klikni na platiť v dolnej časti okna a pri ďalšom otvorení prehliadača Chrome bude zabezpečené POODLE.

internet Explorer

Otvorte prehliadač Internet Explorer a kliknite na ikonu nastavenie ikona. Je to ten, ktorý vyzerá ako výstroj. Teraz kliknite na Možnosti internetu. Otvorí sa nové okno.

Internet Explorer-i-pudel-step-1

Na úplne pravej strane uvidíte kartu označenú Pokročilé - kliknite naň. V nastavenie v oblasti prejdite nadol, kým neuvidíte možnosti Použite SSL 2.0 a Používajte SSL 3.0.

Internet Explorer-i-pudel stupni 2

Ak je v týchto dvoch políčkach začiarknutie, zrušte ich začiarknutím. Uistite sa, že sú políčka označené Používajte TLS 1.o, Používajte TLS 1.1 a Používajte TLS 1.2 sú skontrolované. (Ak nemáte všetky tri z týchto polí TLS, mali by ste aktualizujte svoj Internet Explorer.) Potom kliknite na ikonu platiť a OK Tlačidlo. Váš prehliadač Internet Explorer je teraz testovaný ako POODLE.

Firefox

Ak ste fanúšikom Firefoxu, tu je návod, ako líške prekonať POODLE. Stačí ísť do prehliadača Firefox Kontrola verzie SSL 0.2 Na stránke Doplnok potom stiahnite a nainštalujte doplnok SSL Version Control 0.2. Je to také ľahké.

firefox-pudel-ssl-version-control-add-on

Firefox tiež oznámil, že jeho ďalšia verzia, Firefox 34, zakáže podporu pre SSLv3. Podľa ich webových stránok však táto verzia nebude vydaná až niekedy v novembri.

POODLE bude Pooched

Akonáhle väčšina ľudí POODLE-proof ich prehliadače a väčšina webových serverov prestane používať SSLv3, POODLE už nebude problém. Existuje tiež nástroj známy ako TLS_FALLBACK_SCSV ktoré bolo vyvinuté a ktoré môžu implementovať webové servery a programátori prehľadávačov. Tento nástroj, žiaľ, vyžaduje, aby ho mal webový server aj prehliadač. Implementácia to bude chvíľu trvať. Až potom SSLv3 pôjde na vedľajšiu koľaj, ako by malo mať pred desiatimi rokmi. Šírte slovo a urobte z webu bezpečnejšie miesto.

Kredity obrázkov: Angry Poodle, HTTPS vektorový obrázok cez Shutterstock.

S viac ako 20-ročnými skúsenosťami v oblasti IT, školení a technických odborov je mojou túžbou podeliť sa o to, čo som sa naučil, s kýmkoľvek iným, kto sa chce učiť. Snažím sa robiť najlepšiu možnú prácu najlepším možným spôsobom as trochou humoru.