SSL 3.0 är död! Säkra din webbläsare mot pudelattacken

Använda en sårbarhet i SSL 3.0, angripare kan injicera skadlig kod i datorn och kompromissa den. De kan också kompromissa med webbhotell servrar med samma SSL 3.0. De flesta webbläsare stöder fortfarande SSL3, eftersom de flesta webbservrar fortfarande använder SSL 3.0 för kommunikation, till exempel inloggning, fyllning av former av något slag, etc.

Poodle säkerhetsattack

Secure Sockets Layer eller SSL är ett kryptografiskt protokoll som är utformat för att ge kommunikationssäkerhet över Internet. Det överträffas nu av Transport Layer Security eller TLS.

De Poodle attack tillåter en webbkriminell att fånga upp data som skickas via SSL3-anslutningen. Inte bara kan han eller hon avlyssna uppgifterna, den brottsliga webben kan injicera sin egen data i anslutningen, vilket gör att webbplatsen tror att den kom från webbläsaren. På samma sätt gör det webbläsaren att de skadliga data kommer från webbservern.

POODLE är förkortad Padding Oracle på nedgraderad äldre kryptering. Det är ett protokollfel och inte relaterat till implementering. Det betyder att oavsett hur SSL3 implementeras av webbläsare eller värdar kommer felet att finnas där för angripare att utnyttja. Den enda metoden för att rädda dig från att hackas är att inaktivera SSL3.0 i dina webbläsare och på dina webbhotell servrar.

Du kan testa dina webbläsares sårbarhet genom att besöka den här webbplatsen med den webbläsare du vill kontrollera: ssllabs.com.

Inaktivera SSL 3.0

För att skydda dig mot Poodle-säkerhetsattacker kan du tysta eller stänga av SSL 3.0 i din webbläsare.

Internet Explorer : Öppna dialogrutan Internetalternativ från Kontrollpanelen och gå till fliken Avancerad. Kontrollera om du använder SSL 3.0 och avmarkera den.

Microsoft har släppt en Fix It som låter användarna inaktivera SSL 3.0 i Internet Explorer. Microsoft har också meddelat att SSL 3.0 kommer att inaktiveras i standardkonfigurationen av Internet Explorer och över Microsoft-onlinetjänster under de närmaste månaderna och rekommenderar att kunderna migrerar klienter och tjänster till säkrare säkerhetsprotokoll, till exempel TLS 1.0, TLS 1.1 eller TLS 1,2.

Firefox : För att komma till alternativet att inaktivera SSL3, skriv "om: config" i adressfältet. Söka efter security.tls.version.min i resultaten eller använd sökfältet för att leta efter det. Dubbelklicka på raden och ändra värdet från 0 till 1. Detta kommer att tvinga Firefox att bara använda TLS1.0 och högre och därigenom inaktivera SSL3.0.

Firefox har redan sagt att den kommer att inaktivera SSL 3.0 i nästa utgåva, precis som de inaktiverade Java 6 när den senare visade sig vara mycket sårbar.

Google Chrome: Det är inte synligt i Inställningarna. Man måste lägga till en parameter i Chrome-genvägen så att den inaktiverar SSL3 och bara tvingar TLS. Högerklicka på genvägen och välj Egenskaper. Lägg till i fältet Markerat Mål -ssl-version-min = tls1. Så din väg ska visas som:

"C: \ Programfiler (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = tls1

Även Google har sagt att den under de kommande månaderna hoppas att ta bort stöd för SSL 3.0 helt från all sin klientproduktion

Webbplatsägare eller värdar: Som webbägare eller webbhotell ska du överväga att inaktivera SSL 3 på dina servrar så snart som möjligt