Nemojte se previše razrađivati jer nije tako prijeteće kao što zvuči. Istina je da je to zabrinjavajuće pitanje, ali postoje jednostavni koraci koje možete poduzeti kako biste zaštitili sebe.
Što je to?
Počnimo u prizemlju. Što je to? Prvo, to znači "Padanje Oraclea na Downgraded Legacy Encryption. "Sigurnosni je problem upravo ono što ime sugerira, protokol koji pretpostavlja iskorištavanje zastarjelog oblika šifriranja. Problem je došao do svjetske pozornosti ovog mjeseca kada je Google objavio rad pod nazivom "Ovaj POODLE Bites: iskorištavanje SSL 3.0 Fallback".
Da biste ovo objasnili jednostavnije, ako napadač koji koristi napad na čovjeka u sredini može preuzeti kontrolu nad usmjerivačem na javnoj hotspotu, oni mogu natjerati vaš preglednik da se ponovo vraća na SSL 3.0 (stariji protokol) umjesto da koristi mnogo više modernih TLS (Transport Layer Security), a zatim iskoristite sigurnosnu rupu u SSL-u kako biste oteli sesije preglednika. Budući da je taj problem u protokolu, to utječe na sve što koristi SSL.
Sve dok poslužitelj i klijent (web preglednik) podržavaju SSL 3.0, napadač može prisiliti na povlačenje u protokol, pa čak i ako vaš preglednik pokuša koristiti TLS, umjesto toga, mora biti prisiljen koristiti SSL. Jedini odgovor je da obje strane ili obje strane uklone podršku za SSL, uklanjajući mogućnost smanjenja.
Ako prvenstveno pretražujete od kuće i ne koristite javne vruće točke, potencijalna šteta je prilično niska, a možete jednostavno poduzeti jednostavne korake navedene kasnije u članku kako biste zaštitili sebe. Ako često koristite javnu žarišnu točku, možda je vrijeme da razmislite o korištenju VPN-a.
Kako možemo riješiti problem?
Budući da ne postoji način rješavanja problema sa SSL-om, jedino je rješenje za izrađivače preglednika i web-poslužitelje da sve nadogradi kako bi uklonili podršku za SSL i zahtijevaju samo TLS enkripciju.
Google i Firefox već su priopćili da će ubuduće ukloniti podršku, a Microsoftu (iako nismo) čuli isto, iznimno je lako kao krajnji korisnik onemogućiti SSL 3.0 u IE. Većina velikih web tvrtki uklanja podršku za SSL nakon što je taj problem došao na vidjelo, ali to će potrajati neko vrijeme za sve to.
Kao potrošač možete ukloniti podršku za SSL putem preglednika pomoću jedne od načina opisanih u nastavku - ili ako upotrebljavate Firefox ili Google Chrome i ne upotrebljavate vruće točke cijelo vrijeme, možete pričekati da ažurirate preglednik. Ili možete biti sigurni da ste sami riješili problem.
Onemogućavanje SSL 3.0 u Mozilla Firefoxu
Ako ste korisnik Mozilla Firefoxa, vaši SSL 3.0 zabrinutosti bit će stavljeni u krevet 25. studenog 2014. kada je Fireox 34 pušten. Jedan problem s tim je da još nije studeni i trebate poduzeti korake kako biste se sada zaštitili. Započnite tako da otvorite Firefox preglednik i krenete na stranicu za preuzimanje SSL verzije za preuzimanje u Firefoxu.
Onemogućivanje SSL 3.0 u pregledniku Google Chrome
Ako ste korisnik Google Chromea, možete biti sigurni da će SSL 3.0 biti deaktiviran u narednim mjesecima, iako još nisu postavili datum. Ako se sada želite zaštititi, to se može učiniti u nekoliko jednostavnih koraka. Jednostavno prijeđite na ikonu radne površine Google Chromea i desnom tipkom miša kliknite na njega, a zatim na popisu s izbornika odaberite "Svojstva".
--ssl-version-min=tls1
Sada vaš preglednik automatski će odbiti SSL 3.0 certifikate i prihvatiti samo TLS 1.0 i noviju verziju. Valja napomenuti da ako pokrenete Chrome kroz bilo koji drugi prečac na računalu, nećete upotrebljavati ovu zastavicu.
Onemogućivanje SSL 3.0 u Internet Exploreru
Microsoft još nije najavio kada namjeravaju riješiti problem SSL 3.0 pa je najbolje onesposobiti sami tako što ćete otvoriti izbornik "Start" i upisivanjem "Internet Options".
Slika: Karen na Flickr
