Hva er sikkerhetsproblemet i POODLE og hvordan kan du beskytte deg selv?
Det er vanskelig å bryte opp våre tanker rundt alle disse nettkatastrofer som de oppstår, og akkurat som vi trodde Internett var sikkert igjen etter Heartbleed and Shellshock truet med å "avslutte livet som vi vet det", kommer ut POODLE.
Ikke bli for opparbeidet fordi det ikke er så truende som det høres ut. Sannheten er at det er et problem å være opptatt av, men det er enkle trinn du kan ta for å beskytte deg selv.
Hva er POODLE?
La oss starte i første etasje. Hva er POODLE? For det første står det for " Padding Oracle On Nedgradert Legacy Encryption ." Sikkerhetsproblemet er akkurat det navnet antyder, en nedgradering av protokoller som tillater utnyttelser på en utdatert form for kryptering. Problemet kom til verdens oppmerksomhet denne måneden da Google utgav et dokument som heter "This POODLE Bites: Utnyttelse av SSL 3.0 Fallback".
RELATED: Slik kobler du til en VPN i Windows
For å forklare dette i enklere vilkår, hvis en angriper ved hjelp av et man-i-midten-angrep kan ta kontroll over en ruter på et offentlig hotspot, kan de tvinge nettleseren til å nedgradere til SSL 3.0 (en eldre protokoll) i stedet for å bruke den mye mer moderne TLS (Transportlagssikkerhet), og utnyt deretter et sikkerhetshull i SSL for å kapre nettlesersøktene dine. Siden dette problemet er i protokollen, påvirkes alt som bruker SSL.
Så lenge både serveren og klienten (nettleseren) støtter SSL 3.0, kan angriperen tvinge nedgradering i protokollen, så selv om nettleseren din Forsøker å bruke TLS, slutter det å bli tvunget til å bruke SSL i stedet. Det eneste svaret er at begge sider eller begge sider fjerner støtte for SSL, og fjerner muligheten for å bli nedgradert.
Hvis du primært blar hjemmefra og ikke bruker offentlige hotspots, er potensialet for skade ganske lavt, og du kan bare ta de enkle trinnene som er skissert senere i artikkelen for å beskytte deg selv. Hvis du ofte bruker et offentlig hotspot, kan det være på tide å tenke på å bruke et VPN.
Hvordan kan vi løse problemet?
Siden det ikke er noen måte å løse problemene med SSL, er den eneste løsningen for nettlesere og webservere for å oppgradere alt for å fjerne støtte for SSL og krever bare TLS-kryptering.
Google og Firefox har allerede annonsert at de vil fjerne støtte i fremtiden, og mens vi ennå ikke har hørt det samme fra Microsoft , det er ekstremt enkelt som sluttbruker å deaktivere SSL 3.0 i IE. De fleste av de store nettbedriftene fjerner støtte for SSL etter at dette problemet ble oppdaget, men det vil ta litt tid for alle å gjøre det.
Som forbruker kan du fjerne støtte for SSL fra nettleseren din ved hjelp av en av de metoder som er skissert nedenfor - eller hvis du bruker Firefox eller Google Chrome og ikke bruker hotspots hele tiden, kan du vente på at de skal oppdatere nettleseren. Eller du kan sørge for at du selv har løst problemet.
Deaktivering av SSL 3.0 i Mozilla Firefox
Hvis du er en Mozilla Firefox-bruker, vil SSL 3.0-bekymringene bli lagt i seng 25. november 2014 da Fireox 34 er utgitt. Det ene problemet med dette er at det ikke er november ennå, og du må gjøre noe for å beskytte deg selv nå. Start med å åpne Firefox-nettleseren din og navigere til nedlastingssiden for SSL-versjonskontroll i Firefox.
Når det er installert, kan du skrive inn "om: addons" i navigasjonslinjen og velge "SSL Version Control" -utvidelsen . Du kan klikke på "Valg" for å se innstillingene for utvidelsen. Kontroller at "Automatiske oppdateringer" er på, og at "Minimum SSL Version" er satt til "TLS 1.0"
Etter at Firefox 34 har blitt utgitt, kan du gjerne deaktivere utvidelsen eller avinstallere den.
Deaktivering SSL 3.0 i Google Chrome
Hvis du er en Google Chrome-bruker, kan du være trygg på at SSL 3.0 blir deaktivert i de kommende månedene, selv om de ennå ikke har angitt en dato. Hvis du vil beskytte deg selv nå, kan det gjøres i noen få enkle trinn. Bare gå til Google Chrome-skrivebordet, og høyreklikk på det og velg deretter "Egenskaper" nederst på popup-menyen.
I vinduet "Egenskaper" vil du se en tekstboks som sier "Mål". Bare klikk i denne boksen og trykk på "Slutt" -knappen på tastaturet. Trykk deretter på "Mellomrom" og kopier og lim inn denne teksten på slutten.
- ssl-version-min = tls1
Trykk på "Apply" og klikk "Fortsett" i popup-vinduet og trykk deretter på "OK". "
Nå vil nettleseren din automatisk avvise SSL 3.0-sertifikater og bare godta TLS 1.0 og høyere. Det er verdt å merke seg at hvis du starter Chrome via en hvilken som helst annen snarvei på datamaskinen, vil den ikke bruke dette flagget.
Deaktivere SSL 3.0 i Internet Explorer
Microsoft har ennå ikke annonsert når de planlegger å adressere SSL 3.0-problemet, så det er best å deaktivere det selv ved å åpne "Start" -menyen og skrive inn "Alternativer for Internett".
Gå til fanen "Avansert" og bla ned til "Sikkerhet" -delen til du ser SSL og TLS-alternativer, og fjern deretter merket for Bruk SSL 3.0 og aktiver TLS i stedet.
På denne måten kan du være sikker på at nettleserne dine er sikre på alle mulige POODLE-angrep.
Bilde Karen: Karen på Flickr
Bruk Excel-vinduet til å overvåke viktige celler i en arbeidsbok
Noen ganger får en flott funksjon i et program aldri den anerkjennelsen det fortjener, og Watch-vinduet i Excel er et godt eksempel på en slik funksjon.Hvis du bruker Excel regelmessig, har du sannsynligvis jobbet med noen svært store regneark som spenner over hundrevis, om ikke tusenvis av rader. D
Microsoft Security Essentials (Windows Defender på Windows 8) var en gang på toppen. Gjennom årene har den gått i testresultatene, men Microsoft hevdet at testene ikke var meningsfulle. Nå anbefaler Microsoft at Windows-brukere bruker et tredjeparts antivirusprogram. Denne åpenbaringen kommer til oss fra et intervju Microsoft ga.
