ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟

جدول المحتويات:

فيديو: ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟

فيديو: ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟
فيديو: حل مشكلة عدم تفعيل الاختصارات الغير موثوقة 2024, مارس
ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟
ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟
Anonim
من الصعب أن نلف عقولنا حول كل كوارث الإنترنت هذه عند حدوثها ، وكما ظننا أن الإنترنت كان آمنًا مرة أخرى بعد هدد Heartbleed و Shellshock "بإنهاء الحياة كما نعرفها" ، يأتي الخروج POODLE.
من الصعب أن نلف عقولنا حول كل كوارث الإنترنت هذه عند حدوثها ، وكما ظننا أن الإنترنت كان آمنًا مرة أخرى بعد هدد Heartbleed و Shellshock "بإنهاء الحياة كما نعرفها" ، يأتي الخروج POODLE.

لا تعانق جيدًا نظرًا لأنه ليس خطيرًا كما يبدو. والحقيقة هي أنها قضية يجب الاهتمام بها ، ولكن هناك خطوات بسيطة يمكنك اتخاذها لحماية نفسك.

ما هو POODLE؟

لنبدأ في الطابق الأرضي. ما هو POODLE؟ أولاً ، إنها تعني "حشو Oracle On Downgraded Legacy Encryption"إن مشكلة الأمان هي بالضبط ما يقترحه الاسم ، وتخفيض بروتوكول يسمح بالمآثر على شكل قديم من التشفير. وصلت القضية إلى اهتمام العالم هذا الشهر عندما أصدرت Google ورقة بعنوان "هذه اللقطات POODLE: استغلال SSL 3.0 الاحتياطي".

لتوضيح ذلك بعبارات أبسط ، إذا كان مهاجم يستخدم هجوم Man-In-The-Middle يمكنه التحكم في جهاز توجيه في نقطة اتصال عامة ، يمكن أن يجبر المتصفح على الرجوع إلى الإصدار 3.0 من SSL (بروتوكول أقدم) بدلاً من استخدام TLS أكثر حداثة (Transport Layer Security) ، ثم استغلال ثغرة أمنية في SSL لاختطاف جلسات المتصفح. نظرًا لوجود هذه المشكلة في البروتوكول ، يتأثر أي شيء يستخدم طبقة المقابس الآمنة.

طالما أن الخادم والعميل (مستعرض الويب) يدعمان SSL 3.0 ، يمكن للمهاجم فرض خفض في البروتوكول ، لذلك حتى إذا كان المتصفح يحاول استخدام TLS ، فإنه ينتهي به الأمر إلى استخدام SSL بدلاً من ذلك. الجواب الوحيد هو أن يقوم أي من الجانبين أو كلا الجانبين بإزالة دعم SSL ، وإزالة إمكانية تخفيضه.

إذا كنت تتصفح بشكل أساسي من المنزل ولا تستخدم نقاط اتصال عامة ، فإن احتمال حدوث تلف منخفض جدًا ، ويمكنك فقط اتخاذ الخطوات السهلة الموضحة لاحقًا في المقالة لحماية نفسك. إذا كنت تستخدم في كثير من الأحيان نقطة اتصال عامة ، فقد يكون الوقت قد حان للتفكير في استخدام شبكة ظاهرية خاصة.

كيف يمكننا حل المشكلة؟

نظرًا لعدم وجود طريقة لحل المشكلات مع طبقة المقابس الآمنة ، فإن الحل الوحيد هو لصانعي المتصفحات وخوادم الويب لترقية كل شيء لإزالة دعم SSL ولا تتطلب سوى تشفير TLS.

أعلن كل من Google و Firefox أنهما سيجريان إزالة الدعم في المستقبل ، وعلى الرغم من أننا لم نسمع (حتى الآن) نفس الشيء من Microsoft ، فمن السهل للغاية كمستخدم نهائي تعطيل SSL 3.0 في IE. تقوم معظم شركات الويب الكبيرة بإزالة دعم SSL بعد ظهور هذه المشكلة ، ولكن الأمر سيستغرق بعض الوقت لكي يفعل الجميع ذلك.

بصفتك مستهلكًا ، يمكنك إزالة دعم SSL من متصفحك باستخدام إحدى الطرق الموضحة أدناه - أو إذا كنت تستخدم Firefox أو Google Chrome ولا تستخدم النقاط الفعالة طوال الوقت ، يمكنك الانتظار حتى يتم تحديث المتصفح. أو يمكنك التأكد من إصلاح المشكلة بنفسك.

تعطيل SSL 3.0 في موزيلا فايرفوكس

إذا كنت من مستخدمي Mozilla Firefox ، فسيتم طرح مخاوف SSL 3.0 على السرير في 25 نوفمبر 2014 عندما يتم إصدار Fireox 34. المشكلة الوحيدة في ذلك هي أنه ليس بعد تشرين الثاني (نوفمبر) وتحتاج إلى اتخاذ إجراء لحماية نفسك الآن. ابدأ بفتح متصفح Firefox وانتقل إلى صفحة تنزيل التحكم في إصدار SSL في Firefox.

Image
Image

عندما تم تثبيته بنجاح ، يمكنك إدخال "about: addons" في شريط التنقل وتحديد الامتداد "SSL Version Control". يمكنك النقر على "خيارات" لمشاهدة إعدادات الإضافة. تأكد من تشغيل "التحديثات التلقائية" ومن تعيين "الحد الأدنى لإصدار SSL" على "TLS 1.0"

بعد إصدار Firefox 34 ، يمكنك عدم تعطيل الإضافة أو إلغاء تثبيتها.
بعد إصدار Firefox 34 ، يمكنك عدم تعطيل الإضافة أو إلغاء تثبيتها.

تعطيل SSL 3.0 في جوجل كروم

إذا كنت من مستخدمي Google Chrome ، فيمكنك أن تطمئن إلى أن SSL 3.0 سيتم تعطيله في الأشهر القادمة ، على الرغم من أنه لم يتم تحديد تاريخ حتى الآن. إذا كنت تريد حماية نفسك الآن ، يمكن القيام بذلك في بضع خطوات بسيطة. ما عليك سوى الانتقال إلى رمز Google Chrome لسطح المكتب والنقر بزر الماوس الأيمن عليه ثم تحديد "خصائص" في الجزء السفلي من القائمة المنبثقة.

في نافذة "خصائص" سترى مربع إدخال النص الذي يقول "الهدف". ببساطة انقر في هذا المربع واضغط على زر "إنهاء" على لوحة المفاتيح. بعد ذلك ، اضغط على "شريط المسافة" وانسخ هذا النص والصقه في النهاية.
في نافذة "خصائص" سترى مربع إدخال النص الذي يقول "الهدف". ببساطة انقر في هذا المربع واضغط على زر "إنهاء" على لوحة المفاتيح. بعد ذلك ، اضغط على "شريط المسافة" وانسخ هذا النص والصقه في النهاية.

--ssl-version-min=tls1

اضغط على "تطبيق" ثم انقر فوق "متابعة" في النافذة المنبثقة ثم اضغط على "موافق".
اضغط على "تطبيق" ثم انقر فوق "متابعة" في النافذة المنبثقة ثم اضغط على "موافق".

الآن سوف يرفض المستعرض الخاص بك تلقائيًا شهادات SSL 3.0 ولا يقبل سوى TLS 1.0 وأعلى. تجدر الإشارة إلى أنه في حالة تشغيل Chrome من خلال أي اختصار آخر على جهاز الكمبيوتر ، فلن يستخدم هذا العلم.

تعطيل SSL 3.0 في Internet Explorer

لم تعلن شركة Microsoft بعد عن الموعد الذي تخطط فيه لمعالجة مشكلة SSL 3.0 لذا فمن الأفضل تعطيلها بنفسك عن طريق فتح قائمة "ابدأ" وكتابة "خيارات الإنترنت".

انتقل إلى علامة التبويب "خيارات متقدمة" وانتقل لأسفل إلى قسم "الأمان" حتى تشاهد خيارات SSL و TLS ، ثم ألغ تحديد خيار استخدام SSL 3.0 ، وقم بتمكين TLS بدلاً من ذلك.
انتقل إلى علامة التبويب "خيارات متقدمة" وانتقل لأسفل إلى قسم "الأمان" حتى تشاهد خيارات SSL و TLS ، ثم ألغ تحديد خيار استخدام SSL 3.0 ، وقم بتمكين TLS بدلاً من ذلك.
بهذه الطريقة ، يمكنك التأكد من أن جميع متصفحات الإنترنت آمنة من أي هجمات POODLE محتملة.
بهذه الطريقة ، يمكنك التأكد من أن جميع متصفحات الإنترنت آمنة من أي هجمات POODLE محتملة.

صورة الائتمان: كارين على فليكر

موصى به: