Izmantojot ievainojamību SSL 3.0uzbrucēji var injicēt ļaunprātīgu kodu savā datorā un kompromitēt to. Tie var arī kompromitēt web hostinga serverus, izmantojot to pašu SSL 3.0. Lielākā daļa pārlūkprogrammu joprojām atbalsta SSL3, jo lielākā daļa tīmekļa serveru joprojām izmanto SSL 3.0 komunikācijai, piemēram, pieteikšanās, jebkāda veida veidlapu aizpildīšana u.c.
Pūdelis drošības uzbrukums
Secure Sockets Layer vai SSL ir kriptogrāfijas protokols, kas paredzēts sakaru nodrošināšanai internetā. Tagad to pārsniedz Transporta slāņa drošība vai TLS.
The Pūdelis uzbrukums ļauj tīmekļa noziedzniekam pārtvert datus, kas tiek nosūtīti pa SSL3 savienojumu. Ne tikai viņš var pārtvert datus, bet arī noziedznieks var injicēt savus datus savienojumā, padarot tīmekļa vietni pārliecību, ka tas nāk no pārlūka. Tāpat pārlūks uzskata, ka ļaunprātīgie dati nāk no tīmekļa servera.
POODLE ir īss Padarot Oracle uz pazeminātu mantoto šifrēšanu. Tas ir protokola trūkums, kas nav saistīts ar ieviešanu. Tas nozīmē, ka neatkarīgi no tā, kā pārlūkprogrammas vai saimniekdatorus ievieš SSL3, kļūdas būs tur, kur uzbrucēji to izmanto. Vienīgā metode, lai sevi izglābtu no uzlaušanas, ir atspējot SSL3.0 jūsu pārlūkprogrammās un jūsu tīmekļa mitināšanas serveros.
Jūs varat pārbaudīt savas pārlūkprogrammas neaizsargātību, apmeklējot šo vietni, izmantojot pārlūkprogrammu, kuru vēlaties pārbaudīt: ssllabs.com.
Atspējot SSL 3.0
Lai pasargātu sevi no pūdelis drošības uzbrukumiem, jūs, iespējams, vēlēsities izspiest vai bloķēt SSL 3.0 savā tīmekļa pārlūkprogrammā.
Internet Explorer: No vadības paneļa atveriet dialoglodziņu Interneta opcijas un pārejiet uz papildu tabulu. Pārbaudiet, vai izmantojat SSL 3.0 un noņemiet to atzīmi.
F irefox: Lai piekļūtu iespējai atspējot SSL3, adreses joslā ierakstiet "about: config". Meklēt security.tls.version.min rezultātos vai izmantojiet meklēšanas joslu, lai to meklētu. Veiciet dubultklikšķi uz rindas un mainiet vērtību no 0 līdz 1. Tas liks Firefox izmantot tikai TLS1.0 un augstāk, tādējādi atspējojot SSL3.0.
Firefox jau ir teicis, ka nākamajā versijā tā atspējos SSL 3.0, tāpat kā tas ir atspējojis Java 6, ja tas tika uzskatīts par ļoti ievainojamu.
Google Chrome: Tas nav redzams iestatījumos. Chrome īsinājumikulai ir jāpievieno parametrs, lai tas atspējotu SSL3 un prasa tikai TLS. Ar peles labo pogu noklikšķiniet uz tā saīsnes un atlasiet Properties (Rekvizīti). Laukā ar nosaukumu Mērķis pievienojiet -Ssl-version-min = tls1. Tātad tavam ceļam vajadzētu parādīties kā:
'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1
Pat Google ir teicis, ka tuvākajos mēnešos tā cer pilnībā noņemt visu klientu klientu produktu SSL 3.0 atbalstu
Vietņu īpašnieki vai Saimnieki: Kā tīmekļa vietnes īpašnieks vai tīmekļa uzņēmējas, jums vajadzētu apsvērt iespēju atspējot SSL 3 jūsu serveros, cik drīz vien iespējams
Lai iegūtu pilnīgu informāciju par POODLE uzbrukumu un SSL 3.0 ievainojamību, lūdzu, apmeklējiet vietni oracle.com.
Saistītie raksti:
- Google Chrome padomi un triki par Windows lietotājiem
- Kas ir datora drošības programmatūras ievainojamība un nulles dienas ievainojamība?
- Windows alternatīvo pārlūkošanas saraksts
- Malware Pārcelšanās ceļvedis un rīki iesācējiem
- Ko nozīmē Zero Day uzbrukums, izmantošana vai ievainojamība
