Reklaam

Millal inimestele kutsikas ei meeldi? Kui nad teavad, et see pole kutsikas, vaid brauseri ärakasutamine, mille eesmärk on tema elutähtsa teabe varastamine. POODLklisades Oracle On Doma klassi Legacy Ekrüptimine), millest me räägime, on tõsine turvarünnak.

Turvakasutusena võib see mõjutada kõiki veebibrausereid ja seega ka kedagi teist. Uurime välja, mis on POODLE, mida see teeb ja mida saate teha, et see teid ei hammustaks.

Taustteave

POODLE'i mõistmiseks peate natuke teadma umbes SSL ja TLS Mis on HTTPS ja kuidas turvalisi ühendusi vaikimisi lubadaJulgeolekuprobleemid levivad kaugele ja laialdaselt ning on jõudnud enamiku kõigi tähelepanu keskpunkti. Sellised mõisted nagu viirusetõrje või tulemüür pole enam võõras sõnavara ja neid mitte ainult ei mõisteta, vaid kasutatakse ka ... Loe rohkem . Need on kaks krüptoprotokolli, mis töötati välja teie olulise veebisuhtluse kaitsmiseks. Kui külastate mõnda veebisaiti ja näete HTTPS: // enne veebiaadressi kasutate SSL / TLS-i. SSL (Secure

instagram viewer
Sokk Layer) ja TLS (Transport Sturvalisus Layer) on kaks väga erinevat protokolli, kuid enamik inimesi lihtsalt koondab need kokku ja nimetab neid SSL-iks. SSL asendati tegelikult kümme aastat tagasi TLS-i protokolliga tegelikult krüptograafia standard, kuid SSL on endiselt laialt kasutusel. See teebki POODLE ohtlikuks.

Kui külastate veebisaiti, arvuti, mis teid teenindab (veebiserver) on võimeline mitmel tasemel krüptograafia turvalisus kõikjal alates kõige uuemast ja turvalisemast protokollist TLSv1.2 kuni vanema ja vähem turvalise protokollini SSLv3. See võimaldab teie brauseril ja veebiserveril luua ühenduse sama protokolliga, et nad saaksid turvaliselt rääkida. See on peamine viis, mida veebibrauserid ja serverid püüavad takistada kesktaseme rünnakud Mis on rünnak keskel? Turvalisuse žargoon selgitatudKui olete kuulnud keskeltläbi rünnakutest, kuid pole päris kindel, mida see tähendab, on see artikkel teile mõeldud. Loe rohkem , nagu POODLE.

Mida POODLE teeb?

POODLE proovib sundida teie veebibrauseri ja serveri vahelist ühendust alandama SSLv3-le. Kui see juhtub, saab ründaja kommunikatsioonist lihtteksti teavet. See tähendab, et neil on juurdepääs küpsistele, mida sageli kasutatakse teabe salvestamiseks, millest mõned võivad oma olemuselt olla isiklikud ja tundlikud Mis on küpsis ja mis sellel on pistmist minu privaatsusega? [MakeUseOf selgitab]Enamik inimesi teab, et küpsised on laiali Internetis, ja need on valmis ja valmis sööma selle järgi, kes need esimesena üles leiab. Oota mida? See ei saa olla õige. Jah, seal on küpsised ... Loe rohkem . Seda, mida ründaja selle teabega teeb, võib keegi arvata, kuid see pole kunagi midagi head.

Pealegi pole POODLE-rünnak ründajale teie teabe hankimiseks kõige lihtsam viis. POODLE rünnaku proovimine kellegi heaks võib võtta sadu, isegi tuhandeid. Seega tuleb muretseda, kuid see pole tingimata nii hull kui hiljutine südamepõhja küsimus Südameveeb - mida saate teha, et turvaliselt püsida? Loe rohkem .

Kuidas ma saan ennast kaitsta puudel?

Õnneks on seda üsna lihtne teha. Kõigepealt vaatame, kas oled POODLE haavatav. Minge lihtsalt veebisaidile POODLETest.com. Kui näete puudlit, peate koristama. Kui näete Springfieldi terjerit, on teie brauser hea kasutada. Neile, kes on asjatundlikumad, vaadake Qualys SSL Labs'i SSL-kliendi test. See pakub põhjalikumaid üksikasju.

puudli-mitte-puudli

Selle aluspõhimõte on keelata SSLv3 tugi oma veebibrauseris. Kui see on keelatud, ei saa POODLE teie brauserit madalamale versioonile alandada. Vaatame, kuidas seda teha Chrome'is, Internet Exploreris ja Firefoxis.

Pange tähele, paljud veebisaidid soovivad endiselt kasutada SSLv3. Kui see keelata, ei pruugi need saidid teie jaoks nii hästi töötada kui kunagi varem. Poleks valus saata sellele ettevõttele kena e-kiri koos lingiga selle artikli juurde, et nad oleksid sellest probleemist teadlikud. Loodetavasti lähevad nad üle TLS-ile ja kõik on jälle hea.

Chrome

Leidke otsetee, mida kasutate Chrome'i käivitamiseks. Paremklõpsake sellel ja seejärel klõpsake nuppu Omadused.

kroom-puudel-samm-1

Kui Omadused aken avaneb, leidke väli nimega Sihtmärk. Chrome'i faili asukohani peaks olema pikk tee. See peaks välja nägema järgmine: „C: \ programmifailid (x86) \ Google \ Chrome \ rakendus \ chrome.exe” või „C: \ programmifailid \ Google \ Chrome \ rakendus \ chrome.exe”.

kroom-puudel-samm-2

Klõpsake vahetult pärast viimast jutumärki ja tühiku loomiseks klõpsake tühiku nuppu. Sisestage järgmine tekst:

 ––Ssl-versioon-min = tls1

Siit saate ka kopeerida ja kleepida. See aga soovitab Chrome'il kasutada TLSv1 oma Chrome'i brauseri madalaima turbeversioonina. Klõpsake nuppu Kandideeri akna allosas asuvat nuppu ja järgmisel Chrome'i avamisel on see POODLE-tõend.

Internet Explorer

Avage oma Internet Exploreri brauser ja klõpsake nuppu Seadistused ikoon. See näeb välja nagu käik. Nüüd klõpsake nuppu Interneti-võimalused. Avaneb uus aken.

Interneti-explorer-st-puudel-samm-1

Parempoolses servas näete vahekaarti sildiga Täpsemad - klõpsake sellel. in Seadistused piirkonnas kerige alla, kuni näete valikuid Kasutage SSL 2.0 ja SSL 3.0.

Interneti-explorer-st-puudel-samm-2

Kui neis kahes ruudus on linnuke, tühjendage nende märkimine, klõpsates neil. Veenduge, et kastid oleksid märgistatud Kasutage TLS 1.o, Kasutage TLS 1.1 ja Kasutage TLS 1.2 on kontrollitud. (Kui teil pole kõiki neid kolme TLS-lahtrit, peaksite seda tegema värskendage oma Internet Explorerit.) Seejärel klõpsake nuppu Kandideeri nuppu ja Okei nuppu. Teie Internet Explorer on nüüd POODLE-kaitsega.

Firefox

Kui olete Firefoxi fänn, toimige järgmiselt, kuidas rebane POODI edestada. Minge lihtsalt Firefoxi saidile SSL versioonikontroll 0.2 Seejärel lisage ja installige pistikprogramm SSL Version Control 0.2. See on nii lihtne.

firefox-puudel-ssl-versioon-juhtimis-lisandmoodul

Firefox teatas ka, et selle järgmine versioon Firefox 34 keelab SSLv3 toe. Vastavalt nende veebisaidile avaldatakse see versioon siiski alles novembris.

POODLE pookitakse

Kui enamus inimesi on oma brauseritega POODLE-tõenduskindel ja enamus veebiservereid lõpetab SSLv3 kasutamise, pole POODLE enam probleem. Samuti on olemas tööriist, mida nimetatakse TLS_FALLBACK_SCSV mis on välja töötatud veebiserverite ja brauseriprogrammeerijate abistamiseks. Kahjuks nõuab selle tööriista olemasolu nii veebiserveril kui ka brauseril. Selle rakendamine võtab kõigil aega. Alles siis minnakse mööda SSLv3-st, nagu kümmekond aastat tagasi. Levitage sõna ja tehke veebist turvalisemaks kohaks.

Pildikrediidid: Vihane puudel, HTTPS vektorpilt Shutterstocki kaudu.

20-aastase IT-, koolitus- ja tehnikaalase kogemusega on minu soov jagada oma õpitut kellegi teisega, kes on valmis õppima. Püüan teha parimat tööd parimal võimalikul viisil ja vähese huumoriga.