Ikke bli for opparbeidet fordi det ikke er så truende som det høres ut. Sannheten er at det er et problem å være opptatt av, men det er enkle trinn du kan ta for å beskytte deg selv.
Hva er POODLE?
La oss starte i første etasje. Hva er POODLE? For det første står det for "Padding Oracle på nedgradert legacy kryptering. "Sikkerhetsproblemet er akkurat det navnet antyder, en nedgradering av protokollen som gjør det mulig å utnytte en utdatert form for kryptering. Problemet kom til verdens oppmerksomhet denne måneden da Google utgav et dokument kalt "This POODLE Bites: Utnyttelse av SSL 3.0 Fallback".
For å forklare dette på enklere vilkår, kan en angriper som bruker et Man-in-The-Middle-angrep ta kontroll over en ruter på et offentlig hotspot, og de kan tvinge nettleseren til å nedgradere til SSL 3.0 (en eldre protokoll) i stedet for å bruke mye mer moderne TLS (Transport Layer Security), og deretter utnytte et sikkerhetshull i SSL for å kapre nettlesersessene dine. Siden dette problemet er i protokollen, påvirkes alt som bruker SSL.
Så lenge både serveren og klienten (nettleseren) støtter SSL 3.0, kan angriperen tvinge nedgradering i protokollen, så selv om nettleseren din forsøker å bruke TLS, blir den nødt til å bli tvunget til å bruke SSL i stedet. Det eneste svaret er at begge sider eller begge sider fjerner støtte for SSL, og eliminerer muligheten for å bli nedgradert.
Hvis du primært surfer hjemmefra og ikke bruker offentlige hotspots, er potensialet for skade ganske lavt, og du kan bare ta de enkle trinnene som er skissert senere i artikkelen for å beskytte deg selv. Hvis du ofte bruker et offentlig hotspot, kan det være på tide å tenke på å bruke et VPN.
Hvordan kan vi løse problemet?
Siden det ikke er mulig å løse problemene med SSL, er den eneste løsningen for nettlesere og webservere å oppgradere alt for å fjerne støtte for SSL og krever bare TLS-kryptering.
Google og Firefox har allerede annonsert at de vil fjerne støtte i fremtiden, og mens vi ennå ikke har hørt det samme fra Microsoft, er det ekstremt enkelt som sluttbruker å deaktivere SSL 3.0 i IE. De fleste av de store nettbedriftene fjerner støtte for SSL etter at dette problemet ble oppdaget, men det vil ta en stund for alle å gjøre det.
Som forbruker kan du fjerne støtte for SSL fra nettleseren din ved hjelp av en av metodene som er skissert nedenfor - eller hvis du bruker Firefox eller Google Chrome og ikke bruker hotspots hele tiden, kan du vente på at de oppdaterer nettleseren. Eller du kan sørge for at du selv har løst problemet.
Deaktivering av SSL 3.0 i Mozilla Firefox
Hvis du er en Mozilla Firefox-bruker, vil SSL 3.0-bekymringene bli lagt til sengs 25. november 2014 når Fireox 34 er utgitt. Det ene problemet med dette er at det ikke er november ennå, og du må gjøre noe for å beskytte deg selv nå. Start med å åpne Firefox-nettleseren din og navigere til nedlastingssiden for SSL Version Control i Firefox.
Deaktiverer SSL 3.0 i Google Chrome
Hvis du er en Google Chrome-bruker, kan du være trygg på at SSL 3.0 blir deaktivert i de kommende månedene, selv om de ennå ikke har angitt en dato. Hvis du vil beskytte deg selv nå, kan det gjøres i noen få enkle trinn. Bare gå til Google Chrome-skrivebordet, og høyreklikk på det og velg deretter "Egenskaper" nederst på popup-menyen.
--ssl-version-min=tls1
Nå vil nettleseren din automatisk avvise SSL 3.0-sertifikater og bare godta TLS 1.0 og høyere. Det er verdt å merke seg at hvis du starter Chrome via en hvilken som helst annen snarvei på datamaskinen, vil den ikke bruke dette flagget.
Deaktivering av SSL 3.0 i Internet Explorer
Microsoft har ennå ikke annonsert når de planlegger å ta opp SSL 3.0-problemet, så det er best å deaktivere det selv ved å åpne "Start" -menyen og skrive inn "Internett-alternativer".
Bilde Kreditt: Karen på Flickr
