2024 مؤلف: Peter John Melton | [email protected]. آخر تعديل: 2024-01-07 23:04
لا تعانق جيدًا نظرًا لأنه ليس خطيرًا كما يبدو. والحقيقة هي أنها قضية يجب الاهتمام بها ، ولكن هناك خطوات بسيطة يمكنك اتخاذها لحماية نفسك.
ما هو POODLE؟
لنبدأ في الطابق الأرضي. ما هو POODLE؟ أولاً ، إنها تعني "حشو Oracle On Downgraded Legacy Encryption"إن مشكلة الأمان هي بالضبط ما يقترحه الاسم ، وتخفيض بروتوكول يسمح بالمآثر على شكل قديم من التشفير. وصلت القضية إلى اهتمام العالم هذا الشهر عندما أصدرت Google ورقة بعنوان "هذه اللقطات POODLE: استغلال SSL 3.0 الاحتياطي".
لتوضيح ذلك بعبارات أبسط ، إذا كان مهاجم يستخدم هجوم Man-In-The-Middle يمكنه التحكم في جهاز توجيه في نقطة اتصال عامة ، يمكن أن يجبر المتصفح على الرجوع إلى الإصدار 3.0 من SSL (بروتوكول أقدم) بدلاً من استخدام TLS أكثر حداثة (Transport Layer Security) ، ثم استغلال ثغرة أمنية في SSL لاختطاف جلسات المتصفح. نظرًا لوجود هذه المشكلة في البروتوكول ، يتأثر أي شيء يستخدم طبقة المقابس الآمنة.
طالما أن الخادم والعميل (مستعرض الويب) يدعمان SSL 3.0 ، يمكن للمهاجم فرض خفض في البروتوكول ، لذلك حتى إذا كان المتصفح يحاول استخدام TLS ، فإنه ينتهي به الأمر إلى استخدام SSL بدلاً من ذلك. الجواب الوحيد هو أن يقوم أي من الجانبين أو كلا الجانبين بإزالة دعم SSL ، وإزالة إمكانية تخفيضه.
إذا كنت تتصفح بشكل أساسي من المنزل ولا تستخدم نقاط اتصال عامة ، فإن احتمال حدوث تلف منخفض جدًا ، ويمكنك فقط اتخاذ الخطوات السهلة الموضحة لاحقًا في المقالة لحماية نفسك. إذا كنت تستخدم في كثير من الأحيان نقطة اتصال عامة ، فقد يكون الوقت قد حان للتفكير في استخدام شبكة ظاهرية خاصة.
كيف يمكننا حل المشكلة؟
نظرًا لعدم وجود طريقة لحل المشكلات مع طبقة المقابس الآمنة ، فإن الحل الوحيد هو لصانعي المتصفحات وخوادم الويب لترقية كل شيء لإزالة دعم SSL ولا تتطلب سوى تشفير TLS.
أعلن كل من Google و Firefox أنهما سيجريان إزالة الدعم في المستقبل ، وعلى الرغم من أننا لم نسمع (حتى الآن) نفس الشيء من Microsoft ، فمن السهل للغاية كمستخدم نهائي تعطيل SSL 3.0 في IE. تقوم معظم شركات الويب الكبيرة بإزالة دعم SSL بعد ظهور هذه المشكلة ، ولكن الأمر سيستغرق بعض الوقت لكي يفعل الجميع ذلك.
بصفتك مستهلكًا ، يمكنك إزالة دعم SSL من متصفحك باستخدام إحدى الطرق الموضحة أدناه - أو إذا كنت تستخدم Firefox أو Google Chrome ولا تستخدم النقاط الفعالة طوال الوقت ، يمكنك الانتظار حتى يتم تحديث المتصفح. أو يمكنك التأكد من إصلاح المشكلة بنفسك.
تعطيل SSL 3.0 في موزيلا فايرفوكس
إذا كنت من مستخدمي Mozilla Firefox ، فسيتم طرح مخاوف SSL 3.0 على السرير في 25 نوفمبر 2014 عندما يتم إصدار Fireox 34. المشكلة الوحيدة في ذلك هي أنه ليس بعد تشرين الثاني (نوفمبر) وتحتاج إلى اتخاذ إجراء لحماية نفسك الآن. ابدأ بفتح متصفح Firefox وانتقل إلى صفحة تنزيل التحكم في إصدار SSL في Firefox.
عندما تم تثبيته بنجاح ، يمكنك إدخال "about: addons" في شريط التنقل وتحديد الامتداد "SSL Version Control". يمكنك النقر على "خيارات" لمشاهدة إعدادات الإضافة. تأكد من تشغيل "التحديثات التلقائية" ومن تعيين "الحد الأدنى لإصدار SSL" على "TLS 1.0"
تعطيل SSL 3.0 في جوجل كروم
إذا كنت من مستخدمي Google Chrome ، فيمكنك أن تطمئن إلى أن SSL 3.0 سيتم تعطيله في الأشهر القادمة ، على الرغم من أنه لم يتم تحديد تاريخ حتى الآن. إذا كنت تريد حماية نفسك الآن ، يمكن القيام بذلك في بضع خطوات بسيطة. ما عليك سوى الانتقال إلى رمز Google Chrome لسطح المكتب والنقر بزر الماوس الأيمن عليه ثم تحديد "خصائص" في الجزء السفلي من القائمة المنبثقة.
--ssl-version-min=tls1
الآن سوف يرفض المستعرض الخاص بك تلقائيًا شهادات SSL 3.0 ولا يقبل سوى TLS 1.0 وأعلى. تجدر الإشارة إلى أنه في حالة تشغيل Chrome من خلال أي اختصار آخر على جهاز الكمبيوتر ، فلن يستخدم هذا العلم.
تعطيل SSL 3.0 في Internet Explorer
لم تعلن شركة Microsoft بعد عن الموعد الذي تخطط فيه لمعالجة مشكلة SSL 3.0 لذا فمن الأفضل تعطيلها بنفسك عن طريق فتح قائمة "ابدأ" وكتابة "خيارات الإنترنت".
صورة الائتمان: كارين على فليكر
موصى به:
كيف يمكن أن تصاب بالعدوى عن طريق متصفحك وكيف تحمي نفسك
في عالم مثالي ، لن تكون هناك طريقة لإصابة جهاز الكمبيوتر الخاص بك عبر متصفحك. من المفترض أن تقوم المتصفحات بتشغيل صفحات الويب في وضع حماية غير موثوق به ، بحيث يتم عزلها عن باقي جهاز الكمبيوتر الخاص بك. للأسف ، هذا لا يحدث دائمًا.
ما هو "يوم الصفر" استغلال ، وكيف يمكنك حماية نفسك؟
تكتب الصحافة التقنية باستمرار عن مآثر جديدة وخطرة "صفر يوم". ولكن ما هو بالضبط استغلال يوم الصفر ، ما يجعله خطيراً للغاية ، والأهم من ذلك ، كيف يمكنك حماية نفسك؟
ما هو Malvertising وكيف تحمي نفسك؟
يحاول المهاجمون اختراق مستعرض الويب والمكونات الإضافية به. أصبح "Malvertising" ، الذي يستخدم شبكات الإعلانات التابعة لجهات خارجية لتضمين هجمات في مواقع ويب مشروعة ، أمرًا شائعًا بشكل متزايد.
ما هو Cryptojacking ، وكيف يمكنك حماية نفسك؟
Cryptojacking هو طريقة جديدة ساخنة للمجرمين لكسب المال باستخدام الأجهزة الخاصة بك. يمكن لموقع الويب الذي قمت بفتحه في متصفحك الوصول إلى وحدة المعالجة المركزية (CPU) الخاصة بك لإزالة العملة المشفرة ، كما أصبح استخدام البرامج الخبيثة الشائعة أكثر شيوعًا.
ما هو علة Heartbleed وكيف تحمي نفسك والبقاء آمنة؟
الخطأ المعيب في OpenSSL هو خطأ في النظام يجعل المتطفلين قادرين على اختراق البيانات المقيمة في ذاكرة الخادم ، مما يجعلك عرضة لسرقة البيانات.