Annuncio pubblicitario

Quando alle persone non piace un cucciolo? Quando sanno che non è un cucciolo, ma un exploit del browser volto a rubare le loro informazioni vitali. The POODLE (Paggiungendo Oracle On Downgraded Legacy Ecrittografia) di cui stiamo parlando è un grave attacco alla sicurezza.

Come exploit di sicurezza, può influire su tutti i browser Web e quindi su ognuno di noi. Scopriamo cos'è POODLE, cosa fa e cosa puoi fare per evitare che ti morda.

Informazioni di base

Per capire POODLE, devi sapere un po ' su SSL e TLS Che cos'è HTTPS e come abilitare le connessioni sicure per impostazione predefinitaI problemi di sicurezza si stanno diffondendo in lungo e in largo e hanno raggiunto la prima linea nella mente di tutti. Termini come antivirus o firewall non sono più un vocabolario strano e non sono solo compresi, ma utilizzati anche da ... Leggi di più . Sono due protocolli crittografici che sono stati sviluppati per proteggere le tue importanti comunicazioni web. Quando vai su un sito web e vedi

instagram viewer
HTTPS: // prima dell'indirizzo web, stai utilizzando SSL / TLS. SSL (Secure Socket Layer) e TLS (TRASPORTI Sicurezza Layer) sono due protocolli molto diversi, ma la maggior parte delle persone li raggruppa e li chiama SSL. SSL è stato effettivamente sostituito dal protocollo TLS circa dieci anni fa come di fatto standard per la crittografia, ma SSL è ancora ampiamente utilizzato. Questo è ciò che rende pericoloso POODLE.

Quando visiti un sito Web, il computer che ti serve la pagina (server web) è in grado di diversi livelli di crittografia sicurezza, ovunque da TLSv1.2, il protocollo più recente e sicuro, a SSLv3, il protocollo più vecchio e meno sicuro. Ciò consente al browser e al server Web di connettersi con lo stesso protocollo in modo che possano parlare in modo sicuro. Questo è il modo fondamentale che i browser Web e i server cercano di prevenire attacchi man-in-the-middle Che cos'è un attacco man-in-the-middle? Spiegazione del gergo sulla sicurezzaSe hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo per te. Leggi di più , come POODLE.

Cosa fa POODLE?

POODLE tenta di forzare la connessione tra il browser Web e il server per eseguire il downgrade a SSLv3. In tal caso, l'attaccante può ottenere le informazioni di testo normale dalla comunicazione. Ciò significa che possono accedere ai cookie che vengono spesso utilizzati per archiviare informazioni, alcuni dei quali potrebbero essere di natura personale e sensibile Che cos'è un cookie e cosa ha a che fare con la mia privacy? [MakeUseOf Explains]Molte persone sanno che ci sono cookie sparsi su Internet, pronti e disposti a essere divorati da chiunque li trovi per primi. Aspetta cosa? Non può essere giusto. Sì, ci sono i cookie ... Leggi di più . Quello che l'attaccante fa con queste informazioni è un'ipotesi di nessuno, ma non è mai niente di buono.

Il lato positivo è che l'attacco POODLE non è il modo più semplice per un attaccante di ottenere le tue informazioni. Potrebbero essere necessari centinaia, anche migliaia di tentativi per far funzionare l'attacco POODLE su qualcuno. Quindi è qualcosa di cui preoccuparsi, tuttavia non è necessariamente così male come recente problema Heartbleed Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più .

Come posso proteggermi da POODLE?

Fortunatamente, è una cosa abbastanza facile da fare. Per prima cosa, vediamo se sei vulnerabile ai POODLE. Vai semplicemente al sito POODLETest.com. Se vedi un barboncino, devi fare un po 'di pulizia. Se vedi Springfield Terrier, il tuo browser è pronto. Per coloro che sono più esperti di tecnologia, dai un'occhiata Test client SSL di Qualys SSL Labs. Fornisce dettagli più approfonditi.

barboncino-non-barboncino

Il principio alla base è disabilitare il supporto SSLv3 nel tuo browser web. Se è disabilitato, POODLE NON può eseguire il downgrade del browser ad esso. Vediamo come farlo in Chrome, Internet Explorer e Firefox.

Attenzione, molti siti Web vogliono ancora utilizzare SSLv3. Se lo disabiliti, quei siti potrebbero non funzionare altrettanto bene come una volta. Non sarebbe male inviare a quell'azienda una bella e-mail con un link a questo articolo in modo che siano a conoscenza del problema. Si spera che aggiorneranno a TLS e tutto andrà di nuovo bene.

Cromo

Trova il collegamento che usi per avviare Chrome. Fai clic destro su di esso e quindi fai clic su Proprietà.

cromo-barboncino-step-1

Quando il Proprietà si apre la finestra, trova il campo denominato Bersaglio. Dovrebbe esserci un lungo percorso verso dove si trova il file Chrome. Dovrebbe apparire come: "C: \ Programmi (x86) \ Google \ Chrome \ Application \ chrome.exe" o "C: \ Programmi \ Google \ Chrome \ Application \ chrome.exe".

cromo-barboncino-step-2

Fai clic subito dopo l'ultima virgoletta e premi la barra spaziatrice per creare uno spazio. Ora digita quanto segue:

 --ssl-versione-min = TLS1

Puoi anche copiarlo e incollarlo da qui. Quello che dice a Chrome di fare è usare TLSv1 come la versione più bassa di sicurezza per il tuo browser Chrome. Clicca sul Applicare pulsante nella parte inferiore della finestra e alla successiva apertura di Chrome, sarà a prova di POODLE.

Internet Explorer

Apri il tuo browser Internet Explorer e fai clic su impostazioni icona. È quello che sembra un ingranaggio. Ora fai clic su Opzioni Internet. Verrà aperta una nuova finestra.

internet-explorer-ie-barboncino-step-1

All'estrema destra vedrai una scheda etichettata Avanzate - cliccaci sopra. Nel impostazioni area, scorrere verso il basso fino a visualizzare le opzioni Usa SSL 2.0 e Usa SSL 3.0.

internet-explorer-ie-barboncino-step-2

Se è presente un segno di spunta in queste due caselle, deselezionarle facendo clic su di esse. Assicurarsi che le scatole siano etichettate Usa TLS 1.o, Usa TLS 1.1 e Usa TLS 1.2 sono controllati. (Se non hai tutte e tre queste scatole TLS, dovresti aggiorna il tuo Internet Explorer.) Quindi fare clic su Applicare e il pulsante ok pulsante. Internet Explorer è ora a prova di POODLE.

Firefox

Se sei un fan di Firefox, ecco come aiutare la volpe a superare il POODLE. Vai su Firefox Controllo versione SSL 0.2 Pagina del componente aggiuntivo, quindi scaricare e installare il componente aggiuntivo SSL Version Control 0.2. È così facile

firefox-barboncino-ssl-versione-control-add-on

Firefox ha anche annunciato che la prossima versione, Firefox 34, disabiliterà il supporto per SSLv3. Tuttavia, questa versione non sarà rilasciata fino a novembre, secondo il loro sito web.

POODLE sarà sbriciolato

Una volta che la maggior parte delle persone a prova di POODLE i loro browser e la maggior parte dei server Web smettono di utilizzare SSLv3, POODLE non sarà più un problema. C'è anche uno strumento noto come TLS_FALLBACK_SCSV che è stato sviluppato che i web server e i programmatori di browser possono implementare per aiutare. Sfortunatamente, questo strumento richiede sia il server Web che il browser per averlo. Ci vorrà del tempo perché tutti possano implementarlo. Solo allora SSLv3 passerà di lato, come avrebbe dovuto fare un decennio fa. Spargi la voce e rendi il Web un posto più sicuro dove stare.

Crediti immagine: Barboncino Arrabbiato, Immagine vettoriale HTTPS tramite Shutterstock.

Con oltre 20 anni di esperienza in IT, formazione e scambi tecnici, è mio desiderio condividere ciò che ho imparato con chiunque sia disposto a imparare. Mi sforzo di fare il miglior lavoro possibile nel miglior modo possibile e con un po 'di umorismo.