Открита е SSL уязвимост 3

Уязвимост на сигурността в SSL 3.0 беше открита от Бодо Мьолер и двама други служители на Google. Уязвимостта позволява на мрежовите нападатели да открият обикновен текст от защитена връзка.

SSL 3.0 е по-стар протокол и повечето интернет сървъри използват вместо това по-новите протоколи TLS 1.0, TLS 1.1 или TLS 1.2. Клиентът и сървърът обикновено се съгласяват да използват най-новата версия на протокола по време на връзка по време на ръкостискане на протокола, но тъй като TLS е обратно съвместим със SSL 3.0, може да се случи вместо това да се използва SSL 3.0.

По време на първия опит за ръкостискане се предлага протоколът с най-високата версия, но ако това ръкостискане е неуспешно, вместо това се предлага протоколът с по-ранните версии.

Нападателят, като контролира мрежовата връзка между клиента и сървъра, може да се намеси в процеса на ръкостискане, като се опита да се увери, че SSL 3.0 се използва вместо TLS.

Подробности за атаката са достъпни в съвета за сигурност „This POODLE Bites: Exploiting The SSL 3.0 Fallback“, който можете да изтеглите, като щракнете върху тази връзка.

Защита от атака

Тъй като SSL 3.0 се използва от атакуващия, деактивирането на SSL 3.0 напълно ще блокира атаката. Има обаче един проблем: ако сървърът или клиентът поддържат само SSL 3.0 и не поддържат TLS, тогава няма да е възможно да се установи връзка.

Можете да стартирате SSL тест на имена на домейни, за да видите какви версии на SSL и TLS поддържат.

открита

Резултатът от преминаването на SSL теста:

открита

Codeby web-security - нов курс от Codeby Security School

Представяме на вашето внимание нов курс от екипаThe Codeby - „Уеб приложения за тестване на проникване от нулата“.Обща теория, подготовка на работната среда, пасивен фузинг и пръстови отпечатъци, активен фузинг, уязвимости, последваща експлоатация, инструменти, социално инженерство и още.Прочетете повече .

За да защитите вашия уеб браузър, направете следното:

Chrome : Google Chrome и базираните на Chromium браузъри не съдържат настройки, които могат да задават минималната и максималната версия на протокола, която искате браузърът да използва. Можете да стартирате браузъра с параметъра

за да принудите само TLS1 или по-висок.

връзка

Firefox : Отворете страницата

и потвърдете, че ще внимавате (ако го отваряте за първи път). намирам

щракнете два пъти върху него и задайте стойност на1. Това ще направи TLS 1.0 минимумът, необходим за този протокол.

Internet Explorer : отворете страницата с настройки на Internet Explorer ("Опции за интернет "), отидете на раздела "Разширени ", намеретеSSL 2.0 иSSL 3.0 в списъка и премахнете отметката от тях. Поставете отметки в квадратчетата „Използване на TLS 1.1 “ и „Използване на TLS 1.2

уязвимост

Mozilla ще премахне SSL 3.0 във Firefox 34, следващата стабилна версия на този уеб браузър, която ще бъде пусната в рамките на шест седмици. Google планира да премахне поддръжката на SSL 3.0 от Chrome следващия месец.

Параноид - курс от Codeby Security School

Представяме на вашето внимание курса от екипа наcodeby - "Комплекс от мерки за защита на личните данни, анонимност в интернет и не само" Още .