Не се прекалявайте, защото това не е толкова опасно, колкото звучи. Истината е, че е въпрос, за който да се занимавате, но има лесни стъпки, които можете да предприемете, за да се предпазите.
Какво е POODLE?
Да започнем на приземния етаж. Какво е POODLE? Първо, това означава "Зареждане на Oracle при понижено криптиране на наследство"Проблемът със сигурността е точно това, което подсказва името, протокол понижение, което позволява експлоатацията на неактуална форма на криптиране. Този въпрос дойде на вниманието на света този месец, когато Google пусна хартия, наречена "Това POODLE Bites: Използване на SSL 3.0 Fallback".
За да обясните това по-лесно, ако нападателят, използващ атака "Man-In-The-Middle", може да поеме управлението на маршрутизатора на обществена гореща точка, той може да принуди браузера ви да премине към SSL 3.0 (по-стар протокол) много по-модерна TLS (Security Layer Security) и след това да използвате дупка за сигурност в SSL, за да отвлечете браузърните ви сесии. Тъй като този проблем е в протокола, всичко, което използва SSL, е засегнато.
Докато сървърът и клиентът (уеб браузър) поддържат SSL 3.0, атакуващият може да наложи downgrade в протокола, така че дори и браузърът да се опитва да използва TLS, той в крайна сметка ще бъде принуден да използва SSL вместо това. Единственият отговор е от двете страни или от двете страни да премахнат подкрепата за SSL, премахвайки възможността да бъдат понижени.
Ако главно преглеждате от дома си и не използвате публични горещи точки, потенциалът за щети е доста нисък и можете просто да направите лесните стъпки, описани по-късно в статията, за да се предпазите. Ако често използвате публична гореща точка, може да е време да помислите за използването на VPN.
Как можем да решим проблема?
Тъй като няма начин да се решат проблемите с SSL, единственото решение е производителите на браузъри и уеб сървърите да обновяват всичко, за да премахнат подкрепата за SSL и да изискват само TLS криптиране.
Google и Firefox вече обявиха, че ще отнемат подкрепа в бъдеще и докато все още не сме чували същото от Microsoft, е изключително лесно като крайния потребител да деактивира SSL 3.0 в IE. Повечето от големите уеб компании премахват подкрепата за SSL, след като този проблем излезе наяве, но за известно време ще отнеме известно време.
Като потребител можете да премахнете поддръжката за SSL от браузъра си, като използвате един от методите, очертани по-долу, или ако използвате Firefox или Google Chrome и не използвате постоянно горещи точки, можете да ги изчакате да актуализират браузъра. Или можете да се уверите, че сте задали проблема сами.
Деактивиране на SSL 3.0 в Mozilla Firefox
Ако сте потребител на Mozilla Firefox, проблемите ви с SSL 3.0 ще бъдат поставени в леглото на 25 ноември 2014 г., когато Fireox 34 бъде пуснат. Единственият проблем с това е, че все още не е ноември и трябва да предприемете действия, за да се защитите сега. Започнете, като отворите браузъра си за Firefox и отидете до страницата за изтегляне на контрола на SSL в Firefox.
Деактивиране на SSL 3.0 в Google Chrome
Ако сте потребител на Google Chrome, можете да бъдете сигурни, че SSL 3.0 ще бъде деактивиран през следващите месеци, въпреки че все още не са задали дата. Ако искате да се защитите сега, това може да се направи в няколко прости стъпки. Просто отидете на иконата си на работния плот на Google Chrome и кликнете с десния бутон върху нея, след което изберете "Properties" в долната част на изскачащото меню.
--ssl-version-min=tls1
Сега вашият браузър автоматично ще отхвърли сертификатите SSL 3.0 и ще приеме само TLS 1.0 и по-нови версии. Струва си да се отбележи, че ако стартирате Chrome чрез друга пряк път на компютъра си, той няма да използва това знаме.
Деактивиране на SSL 3.0 в Internet Explorer
Microsoft все още не е обявил, когато планира да отговори на проблема с SSL 3.0, така че е най-добре да го деактивирате сами, като отворите менюто "Старт" и въведете "Интернет опции".
Image Credit: Карен на Flickr