Vad är POODLE Säkerhetsproblem och hur kan du skydda dig själv?
Det är svårt att sätta upp våra sinnen runt alla dessa internetkatastrofer som de uppstår, och precis som vi trodde att Internet var säkert igen efter att Heartbleed och Shellshock hotat att "avsluta livet som vi känner det" kommer ut POODLE.
Bli inte alltför upparbetad eftersom det inte är så hotande som det låter. Sanningen är att det är ett problem att vara bekymrad över, men det finns enkla steg du kan vidta för att skydda dig själv.
Vad är POODLE?
Låt oss börja på bottenvåningen. Vad är POODLE? Först står det för "Padding Oracle på nedgraderad äldre kryptering."Säkerhetsproblemet är precis vad namnet antyder, en nedgradering av protokoll som tillåter exploateringar på en föråldrad form av kryptering. Problemet kom till världens uppmärksamhet denna månad när Google släppte ett dokument som heter "This POODLE Bites: Exploiting SSL 3.0 Fallback".
För att förklara detta i enklare termer kan en angripare som använder en man-i-mitten-attack ta kontroll över en router i ett offentligt hotspot, vilket kan tvinga din webbläsare att nedgradera till SSL 3.0 (ett äldre protokoll) istället för att använda mycket mer modern TLS (Transport Layer Security) och utnyttja sedan ett säkerhetshål i SSL för att kapa dina webbläsarsessioner. Eftersom detta problem finns i protokollet påverkas allt som använder SSL.
Så länge som både servern och klienten (webbläsare) stöder SSL 3.0, kan angriparen tvinga en nedgradering i protokollet, så även om webbläsaren försöker använda TLS, slutar det att bli tvungen att använda SSL istället. Det enda svaret är att åt sidan eller båda sidor tar bort stöd för SSL, vilket eliminerar möjligheten att nedgraderas.
Om du i första hand bläddrar hemifrån och inte använder offentliga hotspots är risken för skada ganska låg, och du kan bara ta de enkla steg som beskrivs senare i artikeln för att skydda dig själv. Om du ofta använder en offentlig hotspot kan det vara dags att tänka på att använda en VPN.
Hur kan vi lösa problemet?
Eftersom det inte finns något sätt att lösa problemen med SSL, är den enda lösningen för webbläsare och webbservrar att uppgradera allt för att ta bort stöd för SSL och kräver endast TLS-kryptering.
Google och Firefox har redan meddelat att de kommer att ta bort stöd i framtiden, och medan vi ännu inte har hört samma sak från Microsoft är det extremt lätt som slutanvändare att inaktivera SSL 3.0 i IE. De flesta av de stora webbbolagen tar bort stöd för SSL efter det att detta problem uppstod, men det tar ett tag för alla att göra det.
Som konsument kan du ta bort stöd för SSL från din webbläsare med hjälp av någon av metoderna nedan - eller om du använder Firefox eller Google Chrome och inte använder hotspots hela tiden, kan du vänta på att uppdatera webbläsaren. Eller du kan se till att du själv har löst problemet.
Inaktivera SSL 3.0 i Mozilla Firefox
Om du är en Mozilla Firefox-användare kommer dina SSL 3.0-frågor att läggas i sängen den 25 november 2014 när Fireox 34 släpps. Det enda problemet med detta är att det ännu inte är november och du måste vidta åtgärder för att skydda dig nu. Börja med att öppna din Firefox-webbläsare och navigera till nedladdningssidan för SSL Version Control i Firefox.
När det har blivit installerat kan du ange "om: addons" i navigeringsfältet och välja "SSL Version Control" -tillägget. Du kan klicka på "Alternativ" för att se inställningarna för tillägget. Kontrollera att "Automatiska uppdateringar" är på och att "Minimum SSL Version" är inställd på "TLS 1.0"
Efter att Firefox 34 har släppts kan du gärna avaktivera tillägget eller avinstallera det.
Inaktiverar SSL 3.0 i Google Chrome
Om du är en Google Chrome-användare kan du vara säker på att SSL 3.0 kommer att inaktiveras under de kommande månaderna, även om de inte har angett ett datum ännu. Om du vill skydda dig nu kan det göras i några enkla steg. Gå bara till din Google Chrome-skrivbordsikon och högerklicka på den och välj sedan "Egenskaper" längst ner i popup-menyn.
I fönstret Egenskaper kommer du att se en textrutan som säger "Target". Klicka bara i den här rutan och tryck på "Avsluta" -knappen på tangentbordet. Tryck sedan på "mellanslag" och kopiera och klistra in texten på slutet.
--ssl-version-min = tls1
Tryck på "Apply" och klicka sedan på "Fortsätt" i popup-fönstret och tryck sedan på "OK".
Nu kommer din webbläsare automatiskt avvisa SSL 3.0-certifikat och accepterar bara TLS 1.0 och högre. Det är värt att notera att om du startar Chrome via någon annan genväg på din dator, kommer den inte att använda den här flaggan.
Inaktiverar SSL 3.0 i Internet Explorer
Microsoft har ännu inte meddelat när de planerar att ta itu med SSL 3.0-problemet, så det är bäst att inaktivera det själv genom att öppna din "Start" -meny och skriva in "Internet-alternativ".
Gå till fliken Avancerat och bläddra ner till avsnittet "Säkerhet" tills du ser alternativen SSL och TLS och avmarkera sedan alternativet för Använd SSL 3.0 och aktivera TLS istället.
På så sätt kan du vara säker på att dina webbläsare är säkra från eventuella POODLE-attacker.
Bildkredit: Karen på Flickr