När tycker folk inte om en valp? När de vet att det inte är en valp, men en webbläsares exploatering syftar till att stjäla sin viktiga information. POODLE ( P adding O racle O n D owngraded L eacy E ncryption) vi pratar om är en allvarlig säkerhetsattack.
Som säkerhetsutnyttjande kan det påverka alla webbläsare, och därför någon av oss. Låt oss ta reda på vad POODLE är, vad det gör, och vad du kan göra för att förhindra att det biter dig.
Bakgrundsinformation
För att förstå POODLE behöver du veta lite om SSL och TLS Vad är HTTPS och hur man aktiverar säkra anslutningar per standard Vad är HTTPS och hur man aktiverar säkra anslutningar per standard säkerhetsfrågor sprider sig långt och brett och har nått framsteg för de flesta allas sinne. Villkor som antivirus eller brandvägg är inte längre konstiga ordförråd och förstår inte bara, men används även av ... Läs mer. De är två kryptografiska protokoll som utvecklades för att skydda din viktiga webbkommunikation. När du går till en webbplats och du ser HTTPS: // innan webbadressen använder du SSL / TLS. SSL ( S ecure S ocket L ayer) och TLS ( T ransport S ecurity L ayer) är två väldigt olika protokoll, men de flesta klarar dem bara och kallar dem SSL. SSL ersattes faktiskt av TLS-protokollet för omkring tio år sedan som de facto- standard för kryptering, men SSL är fortfarande i stor utsträckning. Det är det som gör POODLE farligt.
När du besöker en webbplats, kan den dator som serverar dig sidan (webbserver) ha flera nivåer av krypteringsskydd, var som helst från TLSv1.2, det senaste och säkra protokollet, till SSLv3, det äldre och mindre säkra protokollet. Detta gör det möjligt för din webbläsare och webbservern att ansluta till samma protokoll så att de kan prata säkert. Detta är det grundläggande sättet att webbläsare och servrar försöker förhindra man-i-mitten attacker Vad är en man-i-mitten attack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer, som POODLE.
Vad gör POODLE?
POODLE försöker tvinga anslutningen mellan din webbläsare och servern att nedgradera till SSLv3. Om det gör det kan angriparen få den vanliga textinformationen från kommunikationen. Det betyder att de kan komma åt cookies som ofta används för att lagra information, varav några kan vara personliga och känsliga. Vad är en kaka och vad ska den göra med min integritet? [MakeUseOf Förklarar] Vad är en kaka och vad ska den göra med min integritet? [MakeUseOf Förklarar] De flesta vet att det finns kakor spridda över hela Internet, redo och villiga att ätas upp av den som kan hitta dem först. Vänta, va? Det kan inte vara rätt. Ja, det finns kakor ... Läs mer. Vad angriparen gör med den informationen är någons gissning, men det är aldrig något bra.
På uppsidan är inte POODLE-attacken det enklaste sättet för en angripare att få din information. Det kan ta hundratals, till och med tusentals försök att få POODLE-attacken att fungera på någon. Så det är något att vara bekymrad över, men det är inte nödvändigtvis lika illa som den senaste Heartbleed-problemet Heartbleed - Vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer .
Hur kan jag skydda mig från POODLE?
Lyckligtvis är det en ganska lätt sak att göra. Första saker först, låt oss se om du är POODLE sårbar. Helt enkelt gå till POODLETest.com hemsida. Om du ser en pudel, har du lite att göra. Om du ser Springfield Terrier är din webbläsare bra att gå. För de som är mer tekniskt kunniga, kolla Qualys SSL Labs SSL-klienttest. Det ger mer djupgående detaljer.
Den underliggande principen är att inaktivera SSLv3-stöd i din webbläsare. Om den är inaktiverad kan POODLE inte nedgradera din webbläsare till den. Låt oss se hur du gör det i Chrome, Internet Explorer och Firefox.
Tänk på att många webbplatser fortfarande vill använda SSLv3. Om du inaktiverar det kanske de inte fungerar lika bra för dig som de en gång gjorde. Det skulle inte skada att skicka det här företaget ett bra e-postmeddelande med en länk till den här artikeln så att de är medvetna om problemet. Förhoppningsvis kommer de att uppgradera till TLS och alla kommer att bli bra igen.
Krom
Hitta genvägen som du använder för att starta Chrome. Högerklicka på den och klicka sedan på Egenskaper .
När fönstret Egenskaper öppnas, leta reda på fältet Target . Det borde finnas en lång väg till var Chrome-filen finns. Det ska se ut som: "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" eller "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" .
Klicka strax efter det sista citatteckenet och klicka på mellanslagstangenten för att skapa ett mellanslag. Skriv nu in följande:
--ssl-version-min = tls1
Du kan kopiera och klistra in det här också. Vad som berättar att Chrome ska göra är att använda TLSv1 som den lägsta versionen av säkerhet för din Chrome-webbläsare. Klicka på Apply- knappen längst ner i fönstret, och nästa gång du öppnar Chrome kommer det att bli POODLE-korrektur.
Internet Explorer
Öppna din Internet Explorer-webbläsare och klicka på ikonen Inställningar . Det är det som ser ut som ett redskap. Klicka nu på Internet-alternativ . Ett nytt fönster öppnas.
Längst till höger ser du en flik märkt Avancerad - klicka på den. I inställningsområdet rullar du ned tills du ser alternativen Använd SSL 2.0 och Använd SSL 3.0 .
Om det finns ett kryss i de två rutorna, avmarkera dem genom att klicka på dem. Kontrollera att rutorna märkta Använd TLS 1.o, Använd TLS 1.1 och Använd TLS 1.2 är markerade. (Om du inte har alla tre av dessa TLS-lådor bör du uppdatera din Internet Explorer.) Klicka sedan på Apply- knappen och OK- knappen. Din Internet Explorer är nu POODLE proofed.
Firefox
Om du är ett fan av Firefox, så här kan du hjälpa räven att förklara POODLE. Helt enkelt gå till Firefox SSL Version Control 0.2 tilläggs-sida och ladda ner och installera SSL Version Control 0.2-tillägget. Det är så enkelt.
Firefox har också meddelat att det är nästa version, Firefox 34, kommer att inaktivera stöd för SSLv3. Den versionen kommer emellertid inte att släppas förrän någon gång i november, enligt deras hemsida.
POODLE kommer att bli pooched
När huvuddelen av folket POODLE-proof slutar sina webbläsare och de flesta webservrarna att använda SSLv3, kommer POODLE inte längre vara ett problem. Det finns också ett verktyg som kallas TLS_FALLBACK_SCSV som har utvecklats som webbservrar och webbläsareprogrammerare kan implementera för att hjälpa till. Tyvärr kräver det här verktyget både webbservern och webbläsaren att få den. Det kommer att ta ett tag för alla att genomföra. Först då kommer SSLv3 att gå vid vägen, som det borde ha för ett decennium sedan. Sprid ordet och gör webben till en säkrare plats att vara.
Bildkrediter: Angry Poodle, HTTPS Vector Image via Shutterstock.