SSL 3.0 este mort! Asigurați-vă browser-ul dvs. împotriva atacului Poodle

Utilizarea unei vulnerabilități în SSL 3.0, atacatorii pot injecta un cod rău intenționat în computerul dvs. și pot compromite acest lucru. Ele pot compromite, de asemenea, serverele de gazduire web folosind acelasi SSL 3.0. Cele mai multe browsere încă acceptă SSL3, deoarece majoritatea serverelor web folosesc încă SSL 3.0 pentru comunicare, cum ar fi login, completarea formularelor de orice fel etc..

Pudl atac de securitate

Secure Sockets Layer sau SSL este un protocol criptografic conceput pentru a asigura securitatea comunicării pe Internet. Acum este depășit de către Transport Layer Security sau TLS.

Pui de atac permite unui criminal web să intercepteze datele care sunt trimise prin conexiunea SSL3. Nu numai că poate intercepta datele, criminalul web își poate injecta propriile date în legătură, făcând site-ul să creadă că a venit din browser. De asemenea, face browserul să creadă că datele rău intenționate provin de la serverul web.

POODLE este scurt pentru Împachetarea Oracle pe criptarea retrogradată a Legacy. Este un defect de protocol și nu are legătură cu implementarea. Aceasta înseamnă că, indiferent de modul în care este implementat SSL3 de către browsere sau gazde, defectele vor fi acolo pentru ca atacatorii să poată exploata. Singura metodă de a vă salva de la a fi hacked este să dezactivați SSL3.0 în browserele dvs. și la serverele de gazduire web.

Puteți testa vulnerabilitatea browserelor vizitând acest site folosind browserul pe care doriți să îl verificați: ssllabs.com.

Dezactivați SSL 3.0

Pentru a vă proteja împotriva atacurilor de securitate Poodle, vă recomandăm să eliminați sau să blocați SSL 3.0 în browserul dvs. Web.

Internet Explorer : Deschideți dialogul Opțiuni Internet din Panoul de control și accesați fila avansată. Verificați dacă utilizați SSL 3.0 și debifați-l.

Microsoft a lansat o Fix It care permite utilizatorilor să dezactiveze SSL 3.0 în Internet Explorer. De asemenea, Microsoft a anunțat că SSL 3.0 va fi dezactivat în configurația implicită a Internet Explorer și în cadrul serviciilor online Microsoft în lunile următoare și recomandă clienților să migreze clienți și servicii la protocoale de securitate mai sigure, cum ar fi TLS 1.0, TLS 1.1 sau TLS 1.2.

Firefox : Pentru a ajunge la opțiunea de a dezactiva SSL3, tastați "about: config" în bara de adrese. Caută security.tls.version.min în rezultatele sau utilizați bara de căutare pentru ao căuta. Faceți dublu clic pe rând și modificați valoarea de la 0 la 1. Acest lucru va obliga Firefox să utilizeze numai TLS1.0 și mai mult, dezactivând astfel SSL3.0.

Firefox a declarat deja că va dezactiva SSL 3.0 în următoarea versiune, la fel cum au dezactivat Java 6 când acesta a fost considerat a fi extrem de vulnerabil.

Google Chrome: Nu este vizibil în Setări. Trebuie să adăugați un parametru la comanda rapidă Chrome, astfel încât să dezactiveze SSL3 și să forțeze numai TLS. Faceți clic dreapta pe comanda rapidă și selectați Proprietăți. În câmpul etichetat Țintă, adăugați -ssl-versiune min = tls1. Deci calea ta ar trebui să apară ca:

"C: \ Program Files (x86) \ Google \ Chrome \ Aplicație \ chrome.exe" --ssl-version-min = tls1

Chiar Google a spus că, în lunile următoare, speră să elimine complet suportul pentru SSL 3.0 de la toate produsele sale de clienți

Proprietarii de site-uri sau gazdele: În calitate de proprietar al unui site web sau dintr-o gazdă web, ar trebui să luați în considerare dezactivarea SSL 3 pe serverele dvs., cât mai curând posibil