A biztonsági rés kihasználása SSL 3.0, a támadók rosszindulatú kódot adhatnak be a számítógépbe, és veszélyeztethetik azt. Ugyanezzel az SSL 3.0-val ugyanúgy kompromittálhatja a web hosting kiszolgálókat. A legtöbb böngésző továbbra is támogatja az SSL3-at, mivel a legtöbb webkiszolgáló továbbra is használja az SSL 3.0-at kommunikációhoz, például bejelentkezéshez, bármilyen formanyomtatvány kitöltéséhez stb.
Poodle biztonsági támadás
Secure Sockets Layer vagy SSL egy kriptográfiai protokoll, amelynek célja a kommunikáció biztonságának biztosítása az interneten keresztül. Ezt most felülmúlta Transport Layer Security vagy TLS.
A Poodle támadás lehetővé teszi, hogy az internetes bűnöző megszakítsa az SSL3 kapcsolaton keresztül küldött adatokat. Nem csak az adatokat képes elkapni, az internetes bűnözők beadhatják a saját adataikat a kapcsolatba, így a weboldal úgy gondolja, hogy a böngészőből származik. Hasonlóképpen a böngésző úgy véli, hogy a rosszindulatú adatok a webszerverről származnak.
A POODLE rövid Támogatás az Oracle Downgraded Legacy Encryption rendszeren. Ez egy protokollhiba, és nem kapcsolódik a végrehajtáshoz. Ez azt jelenti, hogy függetlenül attól, hogy az SSL3-t böngészők vagy hostok hajtják-e végre, a hiba ott lesz ott, ahol a támadók kihasználják. Az egyetlen mód, hogy megmentse magát a feltörés ellen, az, hogy letiltja az SSL3.0-t a böngészőben és a web hosting szerverein.
A böngésző biztonsági résének tesztelésével ellenőrizheti a böngésző böngészőjét: ssllabs.com.
Az SSL 3.0 letiltása
A Poodle biztonsági támadások elleni védelme érdekében érdemes lehet az SSL 3.0 böngészőjében kikapcsolni vagy lezárni.
internet böngésző: Nyissa meg az Internetbeállítások párbeszédpanelt a Vezérlőpultról, és menjen a Speciális fülre. Ellenőrizze az SSL 3.0 használatát, és törölje a jelölést.
A Microsoft kiadta a Fix It-t, amely lehetővé teszi a felhasználók számára az SSL 3.0 letiltását az Internet Explorer programban. A Microsoft azt is bejelentette, hogy az SSL 3.0 le lesz tiltva az Internet Explorer alapértelmezett konfigurációjában és a Microsoft online szolgáltatásaiban az elkövetkező hónapokban, és azt ajánlja, hogy az ügyfelek áthelyezzék az ügyfeleket és a szolgáltatásokat biztonságosabb protokollokra, például TLS 1.0, TLS 1.1 vagy TLS 1.2.
F irefox: Az SSL3 letiltásához való hozzáféréshez írja be a "about: config" parancsot a címsorba. Keresés security.tls.version.min vagy használja a keresősávot, hogy megkeresse. Kattintson duplán a sorra, és változtassa meg az értéket 0-ról a -ra 1. Ez arra kényszeríti a Firefoxot, hogy csak a TLS1.0-t és a fentieket használja, ezzel kikapcsolva az SSL3.0-ot.
A Firefox már elmondta, hogy letiltja az SSL 3.0-at a következő kiadásukban, ugyanúgy, ahogyan letiltották a Java 6-ot, amikor az utóbbiak rendkívül sérülékenyek voltak.
Google Chrome: Nem látható a Beállítások menüben. Az egyiknek hozzá kell adnia egy paramétert a Chrome-parancsikornak, hogy letiltja az SSL3-at, és csak a TLS-t kényszeríti. Kattintson jobb gombbal a parancsikonra, és válassza a Tulajdonságok parancsot. A Célban megjelölt mezőbe írja be -ssl-változat-min = TLS1. Így az utat úgy kell megjelennie, mint:
'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1
Még a Google is elmondta, hogy az elkövetkező hónapokban reméli, hogy teljesen eltávolítja az SSL 3.0 támogatását minden ügyféltermeléséből
A webhely tulajdonosai vagy a gazdagépek: Webhelytulajdonosként vagy internetes kiszolgálónak tekintetbe kell vennie az SSL 3 kiszolgálóinak letiltását a lehető leghamarabb
A POODLE támadás és az SSL 3.0 sebezhetőség teljes részletességéről az oracle.com webhelyen tájékozódhat.
Kapcsolódó hozzászólások:
- A Google Chrome tippjei és trükkök a Windows felhasználók számára
- Mi a szoftveres biztonsági rés és a nappali biztonsági rés a számítógépes biztonságban?
- Alternatív böngészők listája a Windows rendszerhez
- Malware eltávolító útmutató és eszközök kezdőknek
- Mit jelent a Zero Day támadása, kihasználása vagy sebezhetőség?
