Не становитесь слишком обработанными, потому что это не так грозно, как кажется. Истина заключается в том, что это проблема, о которой нужно беспокоиться, но есть простые шаги, которые вы можете предпринять, чтобы защитить себя.
Что такое POODLE?
Начнем с первого этажа. Что такое POODLE? Во-первых, это означает Заполнение Oracle по пониженному устаревшему шифрованию. «Проблема с безопасностью - это именно то, что предлагает название, понижение протокола, которое позволяет использовать эксплойты в устаревшей форме шифрования. Этот вопрос привлек внимание всего мира в этом месяце, когда Google выпустил статью под названием «This POODLE Bites: Exploated The SSL 3.0 Fallback».
Чтобы объяснить это более просто, если злоумышленник, использующий атаку «Человек-в-центре», может взять под контроль маршрутизатор в общедоступной точке доступа, они могут заставить ваш браузер перейти на SSL 3.0 (более старый протокол), вместо того чтобы использовать гораздо более современный TLS (Transport Layer Security), а затем использовать дыру в безопасности для SSL, чтобы захватить ваши сеансы браузера. Поскольку эта проблема находится в протоколе, это влияет на все, что использует SSL.
До тех пор, пока сервер и клиент (веб-браузер) поддерживают SSL 3.0, злоумышленник может заставить отказаться от протокола в протоколе, поэтому, даже если ваш браузер пытается использовать TLS, он в конечном итоге вынужден использовать SSL. Единственный ответ - обе стороны или обе стороны удалить поддержку SSL, исключая возможность понижения.
Если вы в основном просматриваете дома и не используете общедоступные горячие точки, потенциал для получения урона довольно низок, и вы можете просто сделать простые шаги, описанные далее в статье, чтобы защитить себя. Если вы часто используете общедоступную точку доступа, возможно, пришло время подумать об использовании VPN.
Как мы можем решить эту проблему?
Поскольку нет способа решить проблемы с SSL, единственным решением для браузеров и веб-серверов является обновление всего, чтобы удалить поддержку SSL и потребовать только шифрование TLS.
Google и Firefox уже объявили, что в будущем они будут удалять поддержку, и пока мы еще не слышали об этом от Microsoft, очень просто, поскольку конечный пользователь отключил SSL 3.0 в IE. Большинство крупных веб-компаний устраняют поддержку SSL после того, как эта проблема обнаружилась, но для этого потребуется время.
В качестве потребителя вы можете удалить поддержку SSL из своего браузера, используя один из способов, описанных ниже, или если вы используете Firefox или Google Chrome и не используете горячие точки все время, вы можете дождаться обновления браузера. Или вы можете убедиться, что сами исправили проблему.
Отключение SSL 3.0 в Mozilla Firefox
Если вы являетесь пользователем Mozilla Firefox, ваши проблемы с SSL 3.0 будут уложены в постель 25 ноября 2014 года, когда будет выпущен Fireox 34. Одна из проблем заключается в том, что это еще не ноябрь, и вам нужно принять меры, чтобы защитить себя сейчас. Начните с открытия браузера Firefox и перехода на страницу загрузки SSL Version Control в Firefox.
Отключение SSL 3.0 в Google Chrome
Если вы являетесь пользователем Google Chrome, вы можете быть уверены, что SSL 3.0 будет отключен в ближайшие месяцы, хотя они еще не установили дату. Если вы хотите защитить себя сейчас, это можно сделать несколькими простыми шагами. Просто перейдите на значок своего рабочего стола Google Chrome и щелкните его правой кнопкой мыши, затем выберите «Свойства» в нижней части всплывающего меню.
--ssl-version-min=tls1
Теперь ваш браузер автоматически отклонит сертификаты SSL 3.0 и только примет TLS 1.0 и выше. Стоит отметить, что если вы запустите Chrome через любой другой ярлык на своем компьютере, он не будет использовать этот флаг.
Отключение SSL 3.0 в Internet Explorer
Microsoft еще не анонсировала, когда планирует решить проблему SSL 3.0, поэтому лучше всего отключить ее, открыв меню «Пуск» и набрав «Свойства обозревателя».
Изображение: Карен на Flickr
