Bruke et sikkerhetsproblem i SSL 3.0, kan angripere injisere skadelig kode inn i datamaskinen og kompromittere den. De kan også kompromittere web hosting servere med samme SSL 3.0. De fleste nettlesere støtter fortsatt SSL3, da de fleste webservere fortsatt bruker SSL 3.0 til kommunikasjon, for eksempel pålogging, fylle ut skjemaer av noe slag, etc.
Puddersikkerhetsangrep
Secure Sockets Layer eller SSL er en kryptografisk protokoll som er utformet for å gi kommunikasjonssikkerhet over Internett. Det er nå superceeded av Transport Layer Security eller TLS.
De Puddelangrep tillater en webkriminell å fange opp data som sendes over SSL3-tilkoblingen. Ikke bare kan han eller hun fange opp dataene, kan webkriminalisten injisere sine egne data i tilkoblingen, noe som gjør nettstedet til å tro at det kom fra nettleseren. På samme måte gjør det nettleseren til å tro at de skadelige dataene kommer fra webserveren.
POODLE er for kort Padding Oracle på nedgradert legacy kryptering. Det er en protokollfeil og ikke relatert til implementering. Det betyr at uavhengig av hvordan SSL3 implementeres av nettlesere eller verter, vil feilen være der for angriperne å utnytte. Den eneste metoden for å redde deg fra å bli hacket, er å deaktivere SSL3.0 i nettleserne og på dine web hosting-servere.
Du kan teste nettleserens sikkerhetsproblem ved å besøke dette nettstedet ved hjelp av nettleseren du vil sjekke: ssllabs.com.
Deaktiver SSL 3.0
For å beskytte deg mot sikkerhetsangrepene for puddeler, vil du kanskje tyde av eller låse ned SSL 3.0 i nettleseren din.
Internet Explorer: Åpne dialogboksen Internett-alternativer fra Kontrollpanel, og gå til den avanserte kategorien. Se etter bruk SSL 3.0 og fjern avmerkingen.
F irefox: For å komme til alternativet for å deaktivere SSL3, skriv "om: config" i adressefeltet. Søk etter security.tls.version.min i resultatene eller bruk søkefeltet til å lete etter det. Dobbeltklikk på rad og endre verdien fra 0 til 1. Dette vil tvinge Firefox til å bruke bare TLS1.0 og over og dermed deaktivere SSL3.0.
Firefox har allerede sagt at den vil deaktivere SSL 3.0 i neste utgave, akkurat som de deaktiverte Java 6 da sistnevnte ble funnet å være svært sårbar.
Google Chrome: Det er ikke synlig i Innstillingene. Man må legge til en parameter i Chrome-snarveien, slik at den deaktiverer SSL3 og krever bare TLS. Høyreklikk på snarveien og velg Egenskaper. I feltet Feltet Mål, legg til -ssl-versjon-min = tls1. Så din vei bør vises som:
'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1
Selv Google har sagt at de i de kommende månedene håper å fjerne støtten til SSL 3.0 helt fra all sin klientproduksjon
Nettstedseiere eller verter: Som en webområdeeier eller en webverten, bør du vurdere å deaktivere SSL 3 på serverne dine, så snart som mulig
For fullstendige opplysninger om POODLE-angrepet og SSL 3.0-sårbarhet, vennligst besøk oracle.com.
Relaterte innlegg:
- Google Chrome Tips og triks for Windows-brukere
- Hva er sikkerhetsproblemet i sikkerhetsproblemet og sikkerhetsproblemet med null dagers sikkerhet?
- Liste over alternative nettlesere for Windows
- Malware Removal Guide og verktøy for nybegynnere
- Hva betyr Zero Day angrep, utnytte eller sårbarhet betyr