Kasutades haavatavust SSL 3.0ründajad võivad süstata pahatahtlikku koodi oma arvutisse ja kompromissi. Samuti võivad nad kompromiteerida veebihostide servereid, kasutades sama SSL 3.0-d. Enamik brauseritest toetavad endiselt SSL3-d, kuna enamik veebiservereid kasutavad sidepidamiseks ikkagi SSL-i 3.0-d, nagu sisselogimine, igasuguste vormide täitmine jne
Poodleti turvalisuse rünnak
Secure Sockets Layer või SSL on krüptograafiline protokoll, mis on loodud interneti turvalisuse tagamiseks. Nüüd ületab see Transpordi kiht Turvalisus või TLS.
The Poodle rünnak võimaldab veebikriminaalil SSL3-ühendusega saadetavate andmete konfiskeerimist. Lisaks sellele, et ta võib andmete hõivata, võib veebikriminaator sisestada oma andmed ühendusse, muutes veebisaidi uskumatuks, et see pärineb brauserist. Samuti teeb brauser tõenäoliseks, et pahatahtlikud andmed pärinevad veebiserverist.
POODLE on lühike Tugevdamine Oracle'i versioonil Edaspidi pärandkorpusega. See on protokolli viga, mis ei ole seotud rakendamisega. See tähendab, et hoolimata sellest, kuidas brauserid või hostid rakendavad SSL3-d, on ründajad selle ära kasutanud. Ainuke meetod, millega ennast häkkida, on blokeerida SSL3.0 teie brauserites ja veebimajutusteenuste serverites.
Saate testida oma brauserite haavatavust, külastades seda veebisaiti brauseri abil, mida soovite kontrollida: ssllabs.com.
Keela SSL 3.0
Et kaitsta end Poodle'i turbetõrgete eest, võite oma veebibrauseris SSL 3.0 välistada või lukustada.
Internet Explorer: Avage juhtpaneelil dialoogi Interneti-suvandid ja avage vahekaart Täpsemalt. Kasutage SSL 3.0 kasutamist ja tühjendage see valik.
F irefox: Et saada SSL3 blokeerimise võimalus, kirjuta aadressiribale tüüp "about: config". Otsima security.tls.version.min tulemustes või kasutage otsinguriba selle otsimiseks. Rea topeltklõpsake ja muutke väärtus vahemikus 0 kuni 1. See sundis Firefoxit kasutama ainult TLS1.0 ja uuemat versiooni, mille tõttu keelati SSL3.0.
Firefox on juba öelnud, et keelab järgmises versioonis SSL 3.0, nagu nad keelavad Java 6, kui viimane leiti olevat väga haavatav.
Google Chrome: See ei ole menüüs Seaded nähtav. Chrome'i otseteele tuleb lisada parameeter, mis keelab SSL3 ja nõuab ainult TLS-i. Paremklõpsake selle otseteed ja valige Properties (Atribuudid). Väljas, millele on märgitud Target, lisa -Ssl-version-min = tls1. Nii et teie tee peaks ilmuma järgmiselt:
'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1
Isegi Google on öelnud, et lähitulevikus loodab ta eemaldada SSL 3.0 toe täielikult oma kliendi tootest
Saidi omanikud või Hosts: Veebisaidi omanikuna või veebihalduris peaksite oma SSL-ide 3-st keelama nii kiiresti kui võimalik
POODLE rünnaku ja SSL 3.0 haavatavuse kohta leiate üksikasjalikult aadressilt oracle.com.
Seonduvad postitused:
- Google Chrome'i näpunäited ja trikid Windowsi kasutajatele
- Mis on arvutiturbe puhul tarkvara haavatavus ja null päevane haavatavus?
- Windowsi alternatiivsete brauserite nimekiri
- Malware Removal Guide & Algajatele mõeldud tööriistad
- Mida tähendab Zero Day rünnak, ärakasutamine või haavatavus?