人们什么时候不喜欢小狗?当他们知道这不是小狗时,而是一种旨在窃取其重要信息的浏览器漏洞。 POODLE( P 添加 O 种族 O n D 拥有等级 L 原始性 e 加密)是一种严重的安全攻击。
作为一种安全漏洞,它可以影响所有Web浏览器,从而影响我们中的任何一个。让我们了解一下POODLE是什么,它的作用以及如何防止它咬伤您。
背景信息
要了解POODLE,您需要了解一些有关POODLE的信息。 SSL和TLS。它们是两个加密协议,旨在帮助保护您的重要Web通信。当您访问网站时,在网址前看到 HTTPS:// 时,您正在使用SSL / TLS。 SSL( S 确保 S 插槽 L ayer)和TLS( T ransport S ecurity L ayer)是两个非常不同的协议,但是大多数人只是将它们组合在一起并称为SSL。实际上,大约十年前,SSL已被TLS协议取代为TLS的 deacto 标准,但SSL仍在广泛使用。这就是使POODLE变得危险的原因。
当您访问网站时,为您提供页面(Web服务器)的计算机能够支持POODLE的几种级别。
POODLE做什么?
POODLE试图强制Web浏览器和服务器之间的连接降级到SSLv3。如果这样做,则攻击者可以从通信中获取纯文本信息。这意味着他们可以访问通常用于存储信息的cookie,其中某些cookie可能是个人的并且是敏感的。攻击者对这些信息的处理是任何人的猜测,但这绝不是一件好事。
从正面看,POODLE攻击并不是攻击者获取您信息的最简单方法。要使POODLE攻击对某人起作用,可能需要数百甚至数千次尝试。所以这是值得关注的事情,但是不一定像最近的Heartbleed问题一样糟糕。
如何保护自己免受POODLE的伤害?
幸运的是,这是一个相当合理的问题简单的事情。首先,让我们看看您是否容易受到POODLE攻击。只需访问POODLETest.com网站。如果看到贵宾犬,则需要清理。如果您看到了Springfield Terrier,则可以轻松使用浏览器。对于那些更精通技术的人,请查看Qualys SSL Labs的SSL客户端测试。它提供了更深入的细节。
基本原理是禁用Web浏览器中的SSLv3支持。如果已禁用,则POODLE无法将您的浏览器降级到该版本。让我们看看如何在Chrome,Internet Explorer和Firefox中执行此操作。
请注意,许多网站仍希望使用SSLv3。如果禁用它,这些站点可能对您的运行不如以前那样好。向该公司发送一封带有本文链接的漂亮电子邮件不会有什么坏处,这样他们就可以知道问题所在。希望他们会升级到TLS,并且一切都会好起来的。
找到用于启动Chrome的快捷方式。右键单击它,然后单击 Properties 。
打开 Properties 窗口后,找到名为 Target 的字段>。 Chrome文件所在的路径应该很长。它应类似于:“ C:\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe" 或“ C:\ Program Files \ Google \ Chrome \ Application \ chrome .exe" 。
在最后一个引号之后单击,然后击空格键以创建一个空格。现在键入以下内容:
––ssl-version-min=tls1
您也可以从此处复制并粘贴该内容。告诉Chrome要做的是将TLSv1用作Chrome浏览器的最低安全版本。点击窗口底部的应用按钮,下次打开Chrome时,它将经过POODLE验证。
打开Internet Explorer浏览器,然后单击< strong>设置图标。它看起来像齿轮。现在点击 Internet选项。将打开一个新窗口。
在最右侧,您将看到一个标签为高级的选项卡–单击它。在设置区域中,向下滚动,直到看到使用SSL 2.0和使用SSL 3.0 选项。
如果这两个选项中有一个选中标记框,通过单击取消选中它们。确保选中标有使用TLS 1.o,使用TLS 1.1和使用TLS 1.2 的框。 (如果您没有这三个TLS框,则应更新Internet Explorer。)然后单击应用按钮和确定按钮。您的Internet Explorer现在已经过POODLE认证。
如果您是Firefox的粉丝,则可以通过以下方法帮助狐狸超越POODLE。只需转到Firefox的SSL版本控制0.2附加组件页面,然后下载并安装SSL版本控制0.2附加组件。如此简单。
Firefox也宣布了其下一版本Firefox 34将禁用对SSLv3的支持。但是,根据他们的网站,该版本要等到11月的某个时候才能发布。
POODLE将被狗吓住了
一旦大多数人使用POODLE验证了他们的浏览器,并且大多数人的Web服务器停止使用SSLv3,POODLE将不再是问题。还有一个被称为TLS_FALLBACK_SCSV的工具已经开发出来,Web服务器和浏览器程序员可以使用该工具来提供帮助。不幸的是,该工具需要Web服务器和浏览器都具有它。每个人都需要一段时间才能实施。只有十年前,SSLv3才会被淘汰。
图片来源:Angry Poodle,通过Shutterstock的HTTPS矢量图片。
