no.phhsnews.com


no.phhsnews.com / Hva er sikkerhetsproblemet i POODLE og hvordan kan du beskytte deg selv?

Hva er sikkerhetsproblemet i POODLE og hvordan kan du beskytte deg selv?


Det er vanskelig å bryte opp våre tanker rundt alle disse nettkatastrofer som de oppstår, og akkurat som vi trodde Internett var sikkert igjen etter Heartbleed and Shellshock truet med å "avslutte livet som vi vet det", kommer ut POODLE.

Ikke bli for opparbeidet fordi det ikke er så truende som det høres ut. Sannheten er at det er et problem å være opptatt av, men det er enkle trinn du kan ta for å beskytte deg selv.

Hva er POODLE?

La oss starte i første etasje. Hva er POODLE? For det første står det for " Padding Oracle On Nedgradert Legacy Encryption ." Sikkerhetsproblemet er akkurat det navnet antyder, en nedgradering av protokoller som tillater utnyttelser på en utdatert form for kryptering. Problemet kom til verdens oppmerksomhet denne måneden da Google utgav et dokument som heter "This POODLE Bites: Utnyttelse av SSL 3.0 Fallback".

RELATED: Slik kobler du til en VPN i Windows

For å forklare dette i enklere vilkår, hvis en angriper ved hjelp av et man-i-midten-angrep kan ta kontroll over en ruter på et offentlig hotspot, kan de tvinge nettleseren til å nedgradere til SSL 3.0 (en eldre protokoll) i stedet for å bruke den mye mer moderne TLS (Transportlagssikkerhet), og utnyt deretter et sikkerhetshull i SSL for å kapre nettlesersøktene dine. Siden dette problemet er i protokollen, påvirkes alt som bruker SSL.

Så lenge både serveren og klienten (nettleseren) støtter SSL 3.0, kan angriperen tvinge nedgradering i protokollen, så selv om nettleseren din Forsøker å bruke TLS, slutter det å bli tvunget til å bruke SSL i stedet. Det eneste svaret er at begge sider eller begge sider fjerner støtte for SSL, og fjerner muligheten for å bli nedgradert.

Hvis du primært blar hjemmefra og ikke bruker offentlige hotspots, er potensialet for skade ganske lavt, og du kan bare ta de enkle trinnene som er skissert senere i artikkelen for å beskytte deg selv. Hvis du ofte bruker et offentlig hotspot, kan det være på tide å tenke på å bruke et VPN.

Hvordan kan vi løse problemet?

Siden det ikke er noen måte å løse problemene med SSL, er den eneste løsningen for nettlesere og webservere for å oppgradere alt for å fjerne støtte for SSL og krever bare TLS-kryptering.

Google og Firefox har allerede annonsert at de vil fjerne støtte i fremtiden, og mens vi ennå ikke har hørt det samme fra Microsoft , det er ekstremt enkelt som sluttbruker å deaktivere SSL 3.0 i IE. De fleste av de store nettbedriftene fjerner støtte for SSL etter at dette problemet ble oppdaget, men det vil ta litt tid for alle å gjøre det.

Som forbruker kan du fjerne støtte for SSL fra nettleseren din ved hjelp av en av de metoder som er skissert nedenfor - eller hvis du bruker Firefox eller Google Chrome og ikke bruker hotspots hele tiden, kan du vente på at de skal oppdatere nettleseren. Eller du kan sørge for at du selv har løst problemet.

Deaktivering av SSL 3.0 i Mozilla Firefox

Hvis du er en Mozilla Firefox-bruker, vil SSL 3.0-bekymringene bli lagt i seng 25. november 2014 da Fireox 34 er utgitt. Det ene problemet med dette er at det ikke er november ennå, og du må gjøre noe for å beskytte deg selv nå. Start med å åpne Firefox-nettleseren din og navigere til nedlastingssiden for SSL-versjonskontroll i Firefox.

Når det er installert, kan du skrive inn "om: addons" i navigasjonslinjen og velge "SSL Version Control" -utvidelsen . Du kan klikke på "Valg" for å se innstillingene for utvidelsen. Kontroller at "Automatiske oppdateringer" er på, og at "Minimum SSL Version" er satt til "TLS 1.0"

Etter at Firefox 34 har blitt utgitt, kan du gjerne deaktivere utvidelsen eller avinstallere den.

Deaktivering SSL 3.0 i Google Chrome

Hvis du er en Google Chrome-bruker, kan du være trygg på at SSL 3.0 blir deaktivert i de kommende månedene, selv om de ennå ikke har angitt en dato. Hvis du vil beskytte deg selv nå, kan det gjøres i noen få enkle trinn. Bare gå til Google Chrome-skrivebordet, og høyreklikk på det og velg deretter "Egenskaper" nederst på popup-menyen.

I vinduet "Egenskaper" vil du se en tekstboks som sier "Mål". Bare klikk i denne boksen og trykk på "Slutt" -knappen på tastaturet. Trykk deretter på "Mellomrom" og kopier og lim inn denne teksten på slutten.

- ssl-version-min = tls1

Trykk på "Apply" og klikk "Fortsett" i popup-vinduet og trykk deretter på "OK". "

Nå vil nettleseren din automatisk avvise SSL 3.0-sertifikater og bare godta TLS 1.0 og høyere. Det er verdt å merke seg at hvis du starter Chrome via en hvilken som helst annen snarvei på datamaskinen, vil den ikke bruke dette flagget.

Deaktivere SSL 3.0 i Internet Explorer

Microsoft har ennå ikke annonsert når de planlegger å adressere SSL 3.0-problemet, så det er best å deaktivere det selv ved å åpne "Start" -menyen og skrive inn "Alternativer for Internett".

Gå til fanen "Avansert" og bla ned til "Sikkerhet" -delen til du ser SSL og TLS-alternativer, og fjern deretter merket for Bruk SSL 3.0 og aktiver TLS i stedet.

På denne måten kan du være sikker på at nettleserne dine er sikre på alle mulige POODLE-angrep.

Bilde Karen: Karen på Flickr


Slik bytter du mellom Minecraft-versjoner Den enkle måten

Slik bytter du mellom Minecraft-versjoner Den enkle måten

For å beskytte gamle verden, lagre nye funksjoner og holde Minecraft-versjonen synkronisert med din favoritt multiplayer-server, trenger alle å vite hvordan du justerer og lagre Minecraft versjon nummer. Les videre når vi viser deg hvordan. Hvorfor justere versjonen og bruk profiler? Som standard har Minecraft launcher en profil.

(how-to)

Hvorfor har noen av Windows-fil- og mappenavnene en prikk foran dem?

Hvorfor har noen av Windows-fil- og mappenavnene en prikk foran dem?

Mens de fleste av oss bare ser normale fil- og mappenavn på våre Windows-systemer, kan det hende at andre har møtt noe litt mer uventet - fil- og mappenavn med en prikk foran dem. Hvorfor skjer dette? Dagens SuperUser Q & A-post har svaret på et svært nysgjerrig leserspørsmål. Dagens Spørsmål og svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppe av Q & A-nettsteder.

(how-to)

Interessante Artikler