Annons

När gillar inte människor en valp? När de vet att det inte är en valp utan en webbläsarutnyttjande som syftar till att stjäla deras viktiga information. POODLE (Ptillsats Oracle On Downgraded Legacy Encryption) vi pratar om är en allvarlig säkerhetsattack.

Som ett säkerhetsutnyttjande kan det påverka alla webbläsare och därför någon av oss. Låt oss ta reda på vad POODLE är, vad det gör och vad du kan göra för att förhindra att det biter dig.

Bakgrundsinformation

För att förstå POODLE måste du veta lite om SSL och TLS Vad är HTTPS och hur man aktiverar säkra anslutningar per standardSäkerhetsproblem sprider sig vida och vida och har nått framstegen i de flesta allas sinne. Termer som antivirus eller brandvägg är inte längre konstigt ordförråd och förstås inte bara, utan används också av ... Läs mer . Det är två kryptografiska protokoll som har utvecklats för att skydda din viktiga webbkommunikation. När du går till en webbplats och du ser HTTPS: // innan webbadressen använder du SSL / TLS. SSL (

instagram viewer
Secure Socket Layer) och TLS (Transport SÄKERHET Layer) är två mycket olika protokoll, men de flesta klumpar bara samman dem och kallar dem SSL. SSL ersattes faktiskt av TLS-protokollet för cirka tio år sedan som de facto standard för kryptografi, men SSL är fortfarande i vid användning. Det är vad som gör POODLE farligt.

När du besöker en webbplats, datorn som tjänar dig på sidan (webbserver) kan flera nivåer av kryptografi säkerhet, var som helst från TLSv1.2, det senaste och säkra protokollet, till SSLv3, det äldre och mindre säkra protokollet. Detta gör att din webbläsare och webbservern kan ansluta till samma protokoll så att de kan prata säkert. Detta är det grundläggande sättet som webbläsare och servrar försöker förhindra man-i-mitten-attacker Vad är en man i mittenattack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle" -attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer , som POODLE.

Vad gör POODLE?

POODLE försöker tvinga anslutningen mellan din webbläsare och servern att nedgradera till SSLv3. Om det gör det kan angriparen få information om vanlig text från kommunikationen. Det betyder att de kan komma åt cookies som ofta används för att lagra information, av vilka några kan vara personliga och känsliga Vad är en cookie och vad har det att göra med min integritet? [MakeUseOf Explains]De flesta vet att det finns kakor spridda över hela Internet, redo och villiga att ätas upp av den som kan hitta dem först. Vänta, va? Det kan inte vara rätt. Ja, det finns kakor ... Läs mer . Vad angriparen gör med den informationen är någons gissning, men det är aldrig något bra.

På uppsidan är POODLE-attacken inte det enklaste sättet för en angripare att få din information. Det kan ta hundratals, till och med tusentals, försök att få POODLE-attacken att arbeta på någon. Så det är något att oroa sig för, men det är inte nödvändigtvis lika dåligt som senaste Heartbleed-frågan Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer .

Hur kan jag skydda mig mot POODLE?

Lyckligtvis är det en ganska enkel sak att göra. Första saker först, låt oss se om du är POODLE sårbar. Gå bara till webbplatsen POODLETest.com. Om du ser en puddel måste du göra en städning. Om du ser Springfield Terrier är din webbläsare bra att gå. För de som är mer tekniskt kunniga, kolla in Qualys SSL Labs SSL-klienttest. Det ger mer djupgående detaljer.

pudel-not-pudel

Den underliggande principen är att inaktivera SSLv3-stöd i din webbläsare. Om den är inaktiverad kan POODLE INTE nedgradera din webbläsare till den. Låt oss titta på hur du gör detta i Chrome, Internet Explorer och Firefox.

Tänk på att många webbplatser fortfarande vill använda SSLv3. Om du inaktiverar det kanske dessa webbplatser inte fungerar lika bra för dig som de en gång gjorde. Det skulle inte skada att skicka ett företag ett trevligt e-postmeddelande med en länk till den här artikeln så att de är medvetna om problemet. Förhoppningsvis kommer de att uppgradera till TLS och alla kommer att vara bra igen.

Krom

Hitta genvägen som du använder för att starta Chrome. Högerklicka på den och klicka sedan på Egenskaper.

krom-pudel-steg-1

När Egenskaper fönstret öppnas, hitta det fält som heter Mål. Det bör finnas en lång väg till var Chrome-filen finns. Det ska se ut som: “C: \ Programfiler (x86) \ Google \ Chrome \ Application \ chrome.exe” eller “C: \ Programfiler \ Google \ Chrome \ Application \ chrome.exe”.

krom-pudel-steg-2

Klicka strax efter det sista citattecknet och tryck på mellanslagsfältet för att skapa ett mellanslag. Skriv nu följande:

 --ssl-version-min = tls1

Du kan också kopiera och klistra in det här. Det som säger Chrome att göra är att använda TLSv1 som den lägsta säkerhetsversionen för din Chrome-webbläsare. Klicka på Tillämpa -knappen längst ner i fönstret och nästa gång du öppnar Chrome kommer den att vara POODLE-proofed.

Internet Explorer

Öppna din Internet Explorer-webbläsare och klicka på inställningar ikon. Det är den som ser ut som en redskap. Klicka nu på Internet-alternativ. Ett nytt fönster öppnas.

Internet-Explorer-ie-pudel-steg-1

Längst till höger ser du en flik märkt Avancerad - Klicka på det. I inställningar område, bläddra ner tills du ser alternativen Använd SSL 2.0 och Använd SSL 3.0.

Internet-Explorer-ie-pudel-steg-2

Om det finns en bock i dessa två rutor, avmarkera dem genom att klicka på dem. Se till att rutorna är märkta Använd TLS 1.o, använd TLS 1.1 och använd TLS 1.2 kontrolleras. (Om du inte har alla dessa tre TLS-rutor, bör du göra det uppdatera din Internet Explorer.) Klicka sedan på Tillämpa -knappen och OK knapp. Din Internet Explorer är nu POODLE-proofed.

Firefox

Om du är en fan av Firefox så här hjälper räven att överlista POODLE. Gå bara till Firefox SSL-versionskontroll 0.2 Lägg till-sida, ladda ner och installera sedan tillägget SSL Version Control 0.2. Det är så enkelt.

firefox-pudel-ssl-version-control-add-on

Firefox har också meddelat att nästa version, Firefox 34, kommer att inaktivera stöd för SSLv3. Den versionen kommer dock inte att släppas förrän någon gång i november, enligt deras webbplats.

POODLE kommer att puckas

När majoriteten av människor POODLE-bevis sina webbläsare och majoriteten av webbservrar slutar använda SSLv3 kommer POODLE inte längre att vara ett problem. Det finns också ett verktyg som kallas TLS_FALLBACK_SCSV som har utvecklats som webbservrar och webbläsarprogrammerare kan implementera för att hjälpa. Tyvärr kräver det verktyget både webbservern och webbläsaren för att ha den. Det kommer att ta lite tid för alla att genomföra. Först då går SSLv3 vid vägen, som den borde ha gjort för ett decennium sedan. Sprid ordet och gör webben till en säkrare plats att vara.

Bildkrediter: Arg pudel, HTTPS vektorbild via Shutterstock.

Med mer än 20 års erfarenhet av IT, utbildning och teknik, är det min önskan att dela vad jag har lärt mig med någon annan som är villig att lära sig. Jag strävar efter att göra det bästa jobbet som möjligt på bästa sätt och med lite humor.