Når liker folk ikke en valp? Når de vet at det ikke er en valp, men en nettleserutnyttelse har som mål å stjele sin vitale informasjon. POODLE ( P adding O racle O n D owngraded L eacy E ncryption) vi snakker om er et alvorlig sikkerhetsangrep.
Som en sikkerhetsutnyttelse kan den påvirke alle nettlesere, og derfor noen av oss. La oss finne ut hva POODLE er, hva det gjør, og hva du kan gjøre for å hindre at det biter deg.
Bakgrunnsinformasjon
For å forstå POODLE, må du vite litt om SSL og TLS Hva er HTTPS og hvordan du aktiverer sikre forbindelser per standard Hva er HTTPS og hvordan du aktiverer sikre forbindelser Per standard Sikkerhetsproblemer sprer seg vidt og bredt og har nådd mest forkant av de fleste alles sinn. Vilkår som antivirus eller brannmur er ikke lenger merkelige ordforråd og er ikke bare forstått, men også brukt av ... Les mer. De er to kryptografiske protokoller som ble utviklet for å beskytte din viktige webkommunikasjon. Når du går til et nettsted, og du ser HTTPS: // før webadressen, bruker du SSL / TLS. SSL ( S ecure S ocket L ayer) og TLS ( T ransport S ecurity L ayer) er to svært forskjellige protokoller, men de fleste knytter dem bare sammen og kaller dem SSL. SSL ble faktisk erstattet av TLS-protokollen for ti år siden som de facto- standarden for kryptering, men SSL er fortsatt i stor bruk. Det er det som gjør POODLE farlig.
Når du besøker et nettsted, kan datamaskinen som serverer deg siden (webserveren) ha flere nivåer av krypteringssikkerhet, hvor som helst fra TLSv1.2, den nyeste og sikreste protokollen, til SSLv3, den eldre og mindre sikre protokollen. Dette gjør at nettleseren din og webserveren kan koble seg til samme protokoll slik at de kan snakke trygt. Dette er den grunnleggende måten at nettlesere og servere forsøker å hindre man-i-midten-angrep. Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer, som POODLE.
Hva gjør POODLE?
POODLE forsøker å tvinge forbindelsen mellom nettleseren og serveren til å nedgradere til SSLv3. Hvis det gjør det, kan angriperen få vanlig tekstinformasjon fra kommunikasjonen. Det betyr at de har tilgang til informasjonskapsler som ofte brukes til å lagre informasjon, hvorav noen kan være personlig og følsom. Hva er en informasjonskapsel og hva har den å gjøre med personvernet mitt? [MakeUseOf Forklarer] Hva er en informasjonskapsel og hva skal den gjøre med personvernet mitt? [MakeUseOf Forklarer] De fleste vet at det er informasjonskapsler spredt over hele Internett, klar og villig til å bli spist opp av den som finner dem først. Vent, hva? Det kan ikke være riktig. Ja, det er informasjonskapsler ... Les mer. Hva angriperen gjør med den informasjonen er noen giss, men det er aldri noe bra.
På oppsiden er POODLE-angrepet ikke den enkleste måten for en angriper å få informasjonen din. Det kan ta hundrevis, til og med tusenvis, prøver å få POODLE-angrepet til å fungere på noen. Så det er noe å være bekymret for, men det er ikke nødvendigvis like ille som det nylige Heartbleed-problemet Heartbleed - Hva kan du gjøre for å holde seg trygt? Heartbleed - Hva kan du gjøre for å være trygg? Les mer .
Hvordan kan jeg beskytte meg selv fra POODLE?
Heldigvis er det en ganske enkel ting å gjøre. Første ting først, la oss se om du er POODLE sårbar. Bare gå til POODLETest.com nettsiden. Hvis du ser en puddel, har du litt rydding til å gjøre. Hvis du ser Springfield Terrier, er nettleseren din god å gå. For de som er mer teknisk kunnskapsrike, sjekk ut Qualys SSL Labs 'SSL Client Test. Den gir mer detaljerte detaljer.
Det underliggende prinsippet er å deaktivere SSLv3-støtte i nettleseren din. Hvis den er deaktivert, kan POODLE IKKE nedgradere nettleseren din til den. La oss se på hvordan du gjør dette i Chrome, Internet Explorer og Firefox.
Vær oppmerksom på at mange nettsteder fortsatt vil bruke SSLv3. Hvis du deaktiverer det, kan disse nettstedene ikke fungere så bra for deg som de en gang gjorde. Det ville ikke skade å sende firmaet en fin e-post med en lenke til denne artikkelen, slik at de er klar over problemet. Forhåpentligvis vil de oppgradere til TLS, og alle vil bli gode igjen.
Chrome
Finn snarveien du bruker til å starte Chrome. Høyreklikk på den og klikk deretter på Egenskaper .
Når vinduet Egenskaper åpnes, finner du feltet Feltet Mål . Det bør være en lang vei til hvor Chrome-filen er plassert. Det skal se ut som: "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" eller "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" .
Klikk like etter det siste sitatmerket og trykk på mellomromstasten for å lage et mellomrom. Skriv inn følgende:
--ssl-versjon-min = tls1
Du kan også kopiere og lime inn det også. Det som forteller Chrome, er å bruke TLSv1 som den laveste versjonen av sikkerhet for Chrome-nettleseren din. Klikk på Bruk- knappen nederst i vinduet, og neste gang du åpner Chrome, blir det POODLE proofed.
Internet Explorer
Åpne Internet Explorer-nettleseren din, og klikk på Innstillinger- ikonet. Det er den som ser ut som et utstyr. Klikk nå på Internett-alternativer . Et nytt vindu åpnes.
Øverst til høyre ser du en fane som er merket Avansert - klikk på den. I Innstillinger- området ruller du ned til du ser alternativene Bruk SSL 2.0 og Bruk SSL 3.0 .
Hvis det er et merke i disse to boksene, fjern markeringen ved å klikke på dem. Kontroller at boksene merket Bruk TLS 1.o, Bruk TLS 1.1 og Use TLS 1.2 er merket. (Hvis du ikke har alle tre av disse TLS-boksene, bør du oppdatere Internet Explorer.) Klikk deretter på Bruk- knappen og OK- knappen. Din Internet Explorer er nå POODLE proofed.
Firefox
Hvis du er en fan av Firefox, kan du hjelpe rifet til å utrydde POODLE. Bare gå til Firefox SSL Version Control 0.2 Add-On-side, og last ned og installer SSL Version Control 0.2-tillegget. Det er så enkelt.
Firefox har også annonsert at det er neste versjon, Firefox 34, vil deaktivere støtte for SSLv3. Men den versjonen vil ikke bli utgitt før noen gang i november, ifølge deres nettside.
POODLE blir pooched
Når flertallet av folk er POODLE-sikre, vil deres weblesere og de fleste webservere slutte å bruke SSLv3, og POODLE er ikke lenger et problem. Det er også et verktøy kjent som TLS_FALLBACK_SCSV som er utviklet som webservere og nettlesereprogrammerere kan implementere for å hjelpe. Dessverre krever verktøyet både webserveren og nettleseren å ha den. Det vil ta litt tid for alle å implementere. Først da vil SSLv3 gå langs veibanen, som det skulle ha et tiår siden. Spred ordet og gjør nettet et tryggere sted å være.
Image Credits: Angry Poodle, HTTPS Vector Image via Shutterstock.