Wann mögen Menschen keinen Welpen? Wenn sie wissen, dass es kein Welpe ist, sondern ein Browser-Exploit, der darauf abzielt, ihre lebenswichtigen Informationen zu stehlen. Der POODLE ( P adding O racle O nD ownedded L egacy Encryption), von dem wir sprechen, ist ein ernsthafter Sicherheitsangriff.
Als Sicherheits-Exploit kann es alle Web-Browser und somit auch jeden von uns betreffen. Lass uns herausfinden, was POODLE ist, was es tut und was du tun kannst, um zu verhindern, dass es dich beißt.
Hintergrundinformation
Um POODLE zu verstehen, müssen Sie ein wenig über SSL und TLS wissen. Was ist HTTPS und wie kann man sichere Verbindungen per Default aktivieren? Was ist HTTPS und wie können sichere Verbindungen per Default aktiviert werden? Sicherheitsbedenken breiten sich weit aus und sind bei den meisten angekommen Jeder denkt daran. Begriffe wie Antivirus oder Firewall sind nicht mehr fremdes Vokabular und werden nicht nur verstanden, sondern auch von ... Read More. Es sind zwei kryptografische Protokolle, die entwickelt wurden, um Ihre wichtigen Web-Kommunikationen zu schützen. Wenn Sie eine Website aufrufen und HTTPS: // vor der Webadresse angezeigt wird, verwenden Sie SSL / TLS. SSL (Secure Socket L ayer) und TLS (Transport S ecurity L ayer) sind zwei sehr unterschiedliche Protokolle, aber die meisten Leute verbinden sie einfach und nennen sie SSL. Vor etwa zehn Jahren wurde SSL tatsächlich durch das TLS-Protokoll als De-facto- Standard für die Kryptographie ersetzt, doch SSL wird immer noch häufig verwendet. Das macht POODLE gefährlich.
Wenn Sie eine Website besuchen, ist der Computer, der Ihnen die Seite (Webserver) bereitstellt, in der Lage, mehrere Kryptografiesicherheitsebenen zu verwenden, von TLSv1.2, dem neuesten und sicheren Protokoll, bis zu SSLv3, dem älteren und weniger sicheren Protokoll. Dadurch können sich Ihr Browser und der Webserver mit demselben Protokoll verbinden, sodass sie sicher miteinander kommunizieren können. Dies ist der grundlegende Weg, den Webbrowser und Server versuchen, Man-in-the-Middle-Angriffe zu verhindern. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr, wie Pudel.
Was macht Pudel?
POODLE versucht, die Verbindung zwischen Ihrem Webbrowser und dem Server zum Herunterstufen auf SSLv3 zu erzwingen. Wenn dies der Fall ist, kann der Angreifer die Klartextinformationen von der Kommunikation erhalten. Das bedeutet, dass sie auf Cookies zugreifen können, die oft zum Speichern von Informationen verwendet werden, von denen einige persönlich und sensibel sein können. Was ist ein Cookie & was hat er mit meiner Privatsphäre zu tun? [MakeUseOf erklärt] Was ist ein Cookie & Was hat es mit meiner Privatsphäre zu tun? [MakeUseOf erklärt] Die meisten Leute wissen, dass es überall im Internet verstreute Cookies gibt, die bereit und bereit sind, von denen gefressen zu werden, die sie zuerst finden können. Warte was? Das kann nicht stimmen. Ja, es gibt Cookies ... Lesen Sie mehr. Was der Angreifer mit dieser Information macht, ist eine Vermutung, aber es ist nie etwas Gutes.
Auf der Oberseite ist der POODLE-Angriff nicht der einfachste Weg für einen Angreifer, um Ihre Informationen zu erhalten. Es kann Hunderte, sogar Tausende von Versuchen dauern, um den POODLE-Angriff auf jemanden wirken zu lassen. Es ist also etwas, worüber man sich Sorgen machen muss, aber es ist nicht unbedingt so schlimm wie die kürzliche Heartbleed-Ausgabe Heartbleed - Was kann man tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Weiterlesen .
Wie kann ich mich vor POODLE schützen?
Zum Glück ist es eine ziemlich einfache Sache zu tun. Erste Dinge zuerst, mal sehen, ob du POODLE angreifbar bist. Gehen Sie einfach auf die POODLETest.com Website. Wenn Sie einen Pudel sehen, müssen Sie etwas aufräumen. Wenn Sie den Springfield Terrier sehen, ist Ihr Browser gut zu gehen. Für diejenigen, die technisch versierter sind, besuchen Sie den SSL-Client-Test von Qualys SSL Labs. Es bietet detailliertere Details.
Das Grundprinzip besteht darin, SSLv3-Unterstützung in Ihrem Webbrowser zu deaktivieren. Wenn es deaktiviert ist, kann POODLE Ihren Browser NICHT auf dieses herunterstufen. Sehen wir uns an, wie dies in Chrome, Internet Explorer und Firefox funktioniert.
Beachten Sie, dass viele Websites immer noch SSLv3 verwenden möchten. Wenn Sie es deaktivieren, funktionieren diese Websites möglicherweise nicht so gut wie früher. Es würde nicht schaden, dieser Firma eine nette E-Mail mit einem Link zu diesem Artikel zu senden, damit sie das Problem erkennen. Hoffentlich werden sie auf TLS upgraden und alles wird wieder gut.
Chrom
Suchen Sie nach der Verknüpfung, die Sie zum Starten von Chrome verwenden. Klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf Eigenschaften .
Wenn das Fenster Eigenschaften geöffnet wird, suchen Sie das Feld mit dem Namen Ziel . Es sollte einen langen Pfad zu der Position der Chrome-Datei geben. Es sollte wie folgt aussehen: "C: \ Programme (x86) \ Google \ Chrome \ Anwendung \ chrome.exe" oder "C: \ Programme \ Google \ Chrome \ Application \ chrome.exe" .
Klicken Sie direkt nach dem letzten Anführungszeichen und drücken Sie die Leertaste, um ein Leerzeichen zu erstellen. Geben Sie nun folgendes ein:
--ssl-version-min = tls1
Sie könnten das auch hier kopieren und einfügen. Chrome muss TLSv1 als niedrigste Sicherheitsversion für Ihren Chrome-Browser verwenden. Klicken Sie auf die Schaltfläche Übernehmen am unteren Rand des Fensters und das nächste Mal, wenn Sie Chrome öffnen, wird POODLE geprüft.
Internet Explorer
Öffnen Sie Ihren Internet Explorer-Browser und klicken Sie auf das Symbol Einstellungen . Es ist der, der wie ein Gang aussieht. Klicken Sie nun auf Internetoptionen . Ein neues Fenster wird geöffnet.
Auf der rechten Seite sehen Sie eine Registerkarte mit der Bezeichnung " Erweitert" - klicken Sie darauf. Scrollen Sie im Bereich Einstellungen nach unten, bis Sie die Optionen SSL 2.0 verwenden und SSL 3.0 verwenden sehen .
Wenn in diesen beiden Feldern ein Häkchen angezeigt wird, deaktivieren Sie sie, indem Sie darauf klicken. Stellen Sie sicher, dass die Kontrollkästchen TLS 1.o verwenden, TLS 1.1 verwenden und TLS 1.2 verwenden aktiviert sind. (Wenn Sie nicht alle drei dieser TLS-Boxen haben, sollten Sie Ihren Internet Explorer aktualisieren.) Klicken Sie dann auf die Schaltfläche Übernehmen und die Schaltfläche OK . Ihr Internet Explorer ist jetzt POODLE-geprüft.
Feuerfuchs
Wenn Sie ein Fan von Firefox sind, können Sie dem Fuchs dabei helfen, den POODLE auszutricksen. Gehen Sie einfach zur Firefox SSL Version Control 0.2 Add-On-Seite und laden Sie dann das SSL Version Control 0.2 Add-on herunter und installieren Sie es. So einfach ist das.
Firefox hat außerdem angekündigt, dass die nächste Version, Firefox 34, die Unterstützung für SSLv3 deaktivieren wird. Diese Version wird laut ihrer Website jedoch erst irgendwann im November erscheinen.
Pudel wird verprügelt
Sobald die Mehrheit der Benutzer ihre Browser POODLE-sicher ist und die meisten Webserver keine SSLv3 mehr verwenden, wird POODLE kein Problem mehr sein. Es gibt auch ein Tool namens TLS_FALLBACK_SCSV, das entwickelt wurde, das Webserver und Browser-Programmierer implementieren können, um zu helfen. Leider benötigt dieses Tool sowohl den Webserver als auch den Browser. Das wird eine Weile dauern, bis jeder es implementiert hat. Erst dann wird SSLv3 auf der Strecke bleiben, wie es vor einem Jahrzehnt hätte sein sollen. Verbreite das Wort und mache das Internet sicherer.
Bildnachweis: Wütender Pudel, HTTPS-Vektorbild über Shutterstock.