Hvornår kan folk ikke lide en hvalp? Når de ved, er det ikke en hvalp, men en browser udnytter sig til at stjæle deres vitale oplysninger. POODLE ( P adding O racle O n D owngraded L egacy E ncryption) vi taler om er et alvorligt sikkerhedsangreb.
Som en sikkerhedsudnyttelse kan det påvirke alle webbrowsere og derfor enhver af os. Lad os finde ud af, hvad POODLE er, hvad det gør, og hvad du kan gøre for at forhindre det i at bide dig.
Baggrundsoplysninger
For at forstå POODLE skal du vide lidt om SSL og TLS Hvad er HTTPS og hvordan man aktiverer sikre forbindelser per standard Hvad er HTTPS og hvordan man aktiverer sikre forbindelser Per standard Sikkerhedsproblemer spredes vidt og bredt og er kommet i spidsen for de fleste alles sind. Vilkår som antivirus eller firewall er ikke længere mærkelige ordforråd og forstås ikke kun, men også brugt af ... Læs mere. De er to kryptografiske protokoller, der er udviklet til at beskytte din vigtige webkommunikation. Når du går til et websted, og du ser HTTPS: // før webadressen bruger du SSL / TLS. SSL ( S ecure S ocket L ayer) og TLS ( T ransport S ecurity L ayer) er to meget forskellige protokoller, men de fleste mennesker klumper dem bare sammen og kalder dem SSL. SSL blev faktisk erstattet af TLS-protokollen omkring ti år siden, da de facto- standarden for kryptografi, men SSL stadig er i vid udstrækning. Det gør POODLE farligt.
Når du besøger et websted, kan den computer, der serverer dig siden (webserver), få flere niveauer af kryptografisikkerhed, hvor som helst fra TLSv1.2, den nyeste og sikre protokol til SSLv3, den ældre og mindre sikre protokol. Dette giver din browser og webserveren mulighed for at forbinde med samme protokol, så de kan snakke sikkert. Dette er den grundlæggende måde, hvorpå webbrowsere og servere forsøger at forhindre menneske-i-midterangreb Hvad er et menneske-i-mellemangreb? Sikkerhedsjargon Forklaret Hvad er en Man-in-the-Middle Attack? Sikkerhedsjargon Forklaret Hvis du har hørt om "man-in-the-middle" angreb, men ikke helt sikker på hvad det betyder, er dette artiklen for dig. Læs mere, som POODLE.
Hvad virker POODLE?
POODLE forsøger at tvinge forbindelsen mellem din webbrowser og serveren til at nedgradere til SSLv3. Hvis det gør det, kan angriberen få almindelig tekstinformation fra kommunikationen. Det betyder, at de har adgang til cookies, der ofte bruges til at gemme information, hvoraf nogle kan være personlige og følsomme. Hvad er en cookie, og hvad skal den gøre med min privatliv? [MakeUseOf Forklarer] Hvad er en cookie, og hvad skal den gøre med min privatliv? [MakeUseOf Forklarer] De fleste mennesker ved, at der er cookies spredt over hele internettet, klar og villig til at blive spist op af den, der kan finde dem først. Vent, hvad? Det kan ikke være rigtigt. Ja, der er cookies ... Læs mere. Hvad angriberen gør med disse oplysninger er nogens gæt, men det er aldrig noget godt.
På bagsiden er POODLE-angrebet ikke den nemmeste måde for en hacker at få din info. Det kan tage hundreder, endog tusindvis af forsøg på at få POODLE-angrebet til at fungere på nogen. Så det er noget at være bekymret for, men det er ikke nødvendigvis lige så dårligt som det nylige Heartbleed problem Heartbleed - Hvad kan du gøre for at forblive trygt? Heartbleed - Hvad kan du gøre for at være sikker? Læs mere .
Hvordan kan jeg beskytte mig selv fra POODLE?
Heldigvis er det en temmelig let ting at gøre. Første ting først, lad os se, om du er POODLE sårbar. Du skal blot gå til POODLETest.com hjemmeside. Hvis du ser en puddel, har du noget at gøre. Hvis du ser Springfield Terrier, er din browser god at gå. For dem, der er mere teknisk dygtige, skal du kigge på Qualys SSL Labs 'SSL Client Test. Det giver mere detaljerede detaljer.
Det grundlæggende princip er at deaktivere SSLv3-understøttelse i din webbrowser. Hvis den er deaktiveret, kan POODLE IKKE nedgradere din browser til den. Lad os se på, hvordan du gør dette i Chrome, Internet Explorer og Firefox.
Vær opmærksom på, at mange websteder stadig vil bruge SSLv3. Hvis du deaktiverer det, fungerer disse websteder måske ikke lige så godt for dig som de engang gjorde. Det ville ikke skade at sende firmaet en dejlig e-mail med et link til denne artikel, så de er opmærksomme på problemet. Forhåbentlig vil de opgradere til TLS og alle vil være gode igen.
Chrome
Find genvejen, som du bruger til at starte Chrome. Højreklik på det og klik derefter på Egenskaber .
Når vinduet Egenskaber åbnes, skal du finde feltet Navngivet . Der skal være en lang vej til, hvor Chrome-filen er placeret. Det skal se ud: "C: \ Programmer (x86) \ Google \ Chrome \ Application \ chrome.exe" eller "C: \ Programmer \ Google \ Chrome \ Application \ chrome.exe" .
Klik lige efter det sidste citat og tryk på din mellemrum for at oprette et mellemrum. Indtast nu følgende:
--ssl-versionen-min = tls1
Du kan også kopiere og indsætte det herfra. Hvad der fortæller Chrome at gøre, er at bruge TLSv1 som den laveste sikkerhedsversion til din Chrome-browser. Klik på knappen Anvend nederst i vinduet, og næste gang du åbner Chrome, bliver det POODLE proofed.
Internet Explorer
Åbn din Internet Explorer-browser, og klik på ikonet Indstillinger . Det er den der ligner et gear. Klik nu på internetindstillinger . Et nyt vindue åbnes.
Øverst til højre ses en fane mærket Avanceret - klik på den. I området Indstillinger skal du rulle ned, indtil du får vist indstillingerne Brug SSL 2.0 og Brug SSL 3.0 .
Hvis der er et flueben i disse to bokse, skal du fjerne markeringen ved at klikke på dem. Sørg for, at boksene mærket Brug TLS 1.o, Use TLS 1.1 og Use TLS 1.2 er markeret. (Hvis du ikke har alle tre af disse TLS-bokse, skal du opdatere din Internet Explorer.) Klik derefter på knappen Anvend og OK . Din Internet Explorer er nu POODLE proofed.
Firefox
Hvis du er fan af Firefox, så er det sådan, hvordan du kan hjælpe ræven med at udrydde POODLE. Du skal blot gå til Firefox SSL Version Control 0.2 Add-On-side, og download og installer SSL Version Control 0.2-tilføjelsen. Det er så nemt.
Firefox har også meddelt, at det er den næste version, Firefox 34, vil deaktivere support til SSLv3. Men den version vil ikke blive udgivet før engang i november, ifølge deres hjemmeside.
POODLE vil blive pooched
Når de fleste mennesker POODLE-proof er deres browsere og de fleste webservers stop med at bruge SSLv3, vil POODLE ikke længere være et problem. Der er også et værktøj kendt som TLS_FALLBACK_SCSV, der er udviklet som webservere og browserprogrammerere kan implementere for at hjælpe. Desværre kræver dette værktøj både webserveren og browseren at have det. Det vil tage et stykke tid for alle at gennemføre. Først da går SSLv3 ved vejen, som det skulle have for et årti siden. Spred ordet og gøre internettet til et sikrere sted at være.
Billedkreditter: Angry Poodle, HTTPS Vector Image via Shutterstock.