Neizmantojiet pārāk rūpīgi, jo tas nav tik bīstams, kā izklausās. Patiesība ir tāda, ka tas ir jautājums, uz kuru jātiecas, bet ir vienkāršas darbības, kuras jūs varat veikt, lai aizsargātu sevi.
Kas ir POODLE?
Sāksimies pirmajā stāvā. Kas ir POODLE? Pirmkārt, tas nozīmē "Padarot Oracle uz pazeminātu mantoto šifrēšanu. "Drošības jautājums ir tieši tas nosaukums, proti, protokola pazemināšana, kas ļauj izmantot novecojušas šifrēšanas formas. Šī problēma nonāca pie pasaules uzmanības šogad, kad Google izdeva papīru ar nosaukumu "Šis POODLE kodumi: izmantojot SSL 3.0 atsitienu".
Lai to izskaidrotu vienkāršāk, ja uzbrucējs, kas izmanto Man-In-The-Middle uzbrukumu, var kontrolēt maršrutētāju publiskā krātuves vietulī, tas var piespiest pārlūkprogrammu pazemināt versiju uz SSL 3.0 (vecāku protokolu), nevis izmantot daudz modernāku TLS (Transport Layer Security), un pēc tam izmantojiet SSL drošības joslu, lai nolaupītu jūsu pārlūkprogrammas sesijas. Tā kā šī problēma ir protokolā, tiek ietekmēts viss, kas izmanto SSL.
Kamēr gan serveris, gan klients (tīmekļa pārlūkprogramma) atbalsta SSL 3.0, uzbrucējs var piespiest samazināt protokolu, tādēļ pat tad, ja jūsu pārlūkprogramma mēģina izmantot TLS, tā vietā tiek liegts izmantot SSL. Vienīgā atbilde ir no abām pusēm vai abām pusēm, lai noņemtu atbalstu SSL, novēršot iespēju tikt nomainītam.
Ja jūs galvenokārt pārlūkojat no mājām un neizmanto publiskos karstajos punktus, kaitējuma iespējamība ir diezgan zema, un jūs varat vienkārši veikt pasākumus, kas izklāstīti rakstā, lai aizsargātu sevi. Ja jūs bieži lietojat publisko karsta punktu, tas varētu būt laiks domāt par VPN lietošanu.
Kā mēs varam atrisināt problēmu?
Tā kā SSL problēmas nevar atrisināt, vienīgais risinājums ir pārlūkprogrammu veidotājiem un tīmekļa serveriem, lai uzlabotu visu, lai noņemtu SSL atbalstu un pieprasītu tikai TLS šifrēšanu.
Google un Firefox jau ir paziņojuši, ka nākotnē tie tiks noņemti no atbalsta, un, lai gan mēs vēl neesam (vēl) dzirdējuši to pašu no Microsoft, gala lietotājam ir ļoti vienkārši izslēgt IE SSL 3.0. Lielākā daļa no lielajām tīmekļa kompānijām noņem atbalstu SSL, kad šī problēma atklājās, bet visiem to vajadzētu darīt zināmu laiku.
Kā patērētāju jūs varat noņemt no pārlūkprogrammas SSL atbalstu, izmantojot kādu no tālāk aprakstītajām metodēm, vai arī, ja jūs izmantojat Firefox vai Google Chrome un nepārtraukti lietojat karstajos punktus, jūs varat gaidīt, kamēr viņi atjaunina pārlūku. Vai arī jūs varat pārliecināties, ka pats esat novērsis problēmu.
Mozilla Firefox atspējošana SSL 3.0
Ja esat Mozilla Firefox lietotājs, jūsu SSL 3.0 problēmas tiks nodotas gultā 2014. gada 25. novembrī, kad tiks atbrīvots Fireox 34. Viena problēma ir tā, ka tas vēl nav novembris, un jums ir jārīkojas, lai aizsargātu sevi tagad. Sāciet, atverot pārlūkprogrammu Firefox un dodoties uz SSL versijas kontroles lejupielādes lapu pārlūkprogrammā Firefox.
Google Chrome atspējošana SSL 3.0
Ja esat Google Chrome lietotājs, varat būt drošs, ka nākamo mēnešu laikā SSL 3.0 tiks atspējots, lai gan tie vēl nav iestatījuši datumu. Ja jūs vēlaties aizsargāt sevi tagad, to var izdarīt, veicot dažas vienkāršas darbības. Vienkārši dodieties uz savu Google Chrome darbvirsmas ikonu un ar peles labo taustiņu noklikšķiniet uz tā, pēc tam uznirstošās izvēlnes apakšpusē izvēlieties "Properties".
--ssl-version-min=tls1
Tagad jūsu pārlūkprogramma automātiski noraidīs SSL 3.0 sertifikātus un pieņems tikai TLS 1.0 un jaunāku versiju. Ir vērts atzīmēt, ka, ja jūs palaidīsit pārlūku Chrome, izmantojot jebkuru citu saīsni savā datorā, tas neizmantos šo karodziņu.
Atspējojot Internet Explorer SSL 3.0
Microsoft vēl nav paziņojusi, ka viņi plāno risināt jautājumu par SSL 3.0, tāpēc vislabāk to atspējot pats, atverot izvēlni "Sākt" un ievadot "Interneta opcijas".
Attēlu kredīts: Karen Flickr
