SSL 3.0 er død! Sikre nettleseren din mot pudderangrepet

Bruke et sikkerhetsproblem i SSL 3.0, angriperne kan injisere skadelig kode inn i datamaskinen og kompromittere den. De kan også kompromittere web hosting-servere med samme SSL 3.0. De fleste nettlesere støtter fortsatt SSL3, da de fleste webservere fortsatt bruker SSL 3.0 for kommunikasjon, for eksempel pålogging, fylle ut skjemaer av noe slag, osv..

Puddersikkerhetsangrep

Secure Sockets Layer eller SSL er en kryptografisk protokoll utviklet for å gi kommunikasjonssikkerhet over Internett. Det er nå superceeded av Transport Layer Security eller TLS.

De Pudderangrep tillater en webkriminell å fange opp data som sendes over SSL3-tilkoblingen. Ikke bare kan han eller hun fange opp dataene, kan webkriminalisten injisere sine egne data i tilkoblingen, noe som gjør nettstedet til å tro at det kom fra nettleseren. På samme måte gjør det nettleseren til å tro at de skadelige dataene kommer fra webserveren.

POODLE er for kort Padding Oracle på nedgradert legacy kryptering. Det er en protokollfeil og ikke relatert til implementering. Det betyr at uavhengig av hvordan SSL3 implementeres av nettlesere eller verter, vil feilen være der for angripere å utnytte. Den eneste metoden for å redde deg fra å bli hacket, er å deaktivere SSL3.0 i nettleserne og på dine web hosting-servere.

Du kan teste nettleserens sikkerhetsproblem ved å besøke dette nettstedet ved hjelp av nettleseren du vil sjekke: ssllabs.com.

Deaktiver SSL 3.0

For å beskytte deg mot sikkerhetsangrepene for puddeler, vil du kanskje slå av eller låse ned SSL 3.0 i nettleseren din.

Internet Explorer : Åpne dialogboksen Internett-alternativer fra Kontrollpanel og gå til den avanserte kategorien. Sjekk for bruk SSL 3.0 og fjern merket for det.

Microsoft har gitt ut en Fix It som lar brukere deaktivere SSL 3.0 i Internet Explorer. Microsoft har også kunngjort at SSL 3.0 vil bli deaktivert i standardkonfigurasjonen av Internet Explorer og over Microsoft-nettjenester i de kommende månedene, og anbefaler at kunder overfører klienter og tjenester til sikrere sikkerhetsprotokoller, for eksempel TLS 1.0, TLS 1.1 eller TLS 1.2.

Firefox : For å komme til alternativet for å deaktivere SSL3, skriv "om: config" i adressefeltet. Søk etter security.tls.version.min i resultatene eller bruk søkefeltet til å lete etter det. Dobbeltklikk på rad og endre verdien fra 0 til 1. Dette vil tvinge Firefox til å bruke bare TLS1.0 og over og dermed deaktivere SSL3.0.

Firefox har allerede sagt at den vil deaktivere SSL 3.0 i neste utgave, akkurat som de deaktiverte Java 6 da sistnevnte ble funnet å være svært sårbar.

Google Chrome: Det er ikke synlig i Innstillingene. Man må legge til en parameter i Chrome-snarveien, slik at den deaktiverer SSL3 og krever bare TLS. Høyreklikk på snarveien og velg Egenskaper. I feltet Feltet Mål, legg til -ssl-versjon-min = tls1. Så din vei bør vises som:

"C: \ Programfiler (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-versjon-min = tls1

Selv Google har sagt at de i de kommende månedene håper å fjerne støtten til SSL 3.0 helt fra all sin klientproduksjon

Nettstedseiere eller verter: Som en webområdeeier eller en webverten, bør du vurdere å deaktivere SSL 3 på serverne dine, så snart som mulig