So verhindern Sie, dass der POODLE Ihren Browser beißt
Wann mögen die Leute keinen Welpen? Wenn sie wissen, dass es sich nicht um einen Welpen handelt, sondern um einen Browser, der darauf abzielt, ihre wichtigen Informationen zu stehlen. Der POODLE (PHinzufügen Orakel On Dselbst gemacht LEgacy EVerschlüsselung) ist ein schwerwiegender Sicherheitsangriff.
Als Sicherheits-Exploit kann es sich auf alle Webbrowser und damit auf jeden von uns auswirken. Finden wir heraus, was POODLE ist, was es tut und was Sie tun können, um zu verhindern, dass es Sie beißt.
Hintergrundinformation
Um POODLE zu verstehen, müssen Sie ein wenig über SSL und TLS wissen, was HTTPS ist und wie sichere Verbindungen per Standard aktiviert werden können, was HTTPS ist, und wie sichere Verbindungen per Standard aktiviert werden können Jeder ist in Gedanken Begriffe wie Antivirus oder Firewall sind kein seltsames Vokabular mehr und werden nicht nur verstanden, sondern auch von… Read More. Es handelt sich um zwei kryptografische Protokolle, die zum Schutz Ihrer wichtigen Webkommunikation entwickelt wurden. Wenn Sie auf eine Website gehen und Sie sehen HTTPS: // vor der Webadresse verwenden Sie SSL / TLS. SSL (Ssicher Socket Layer) und TLS (TTransport SSicherheit Layer) sind zwei sehr unterschiedliche Protokolle, aber die meisten Leute fassen sie einfach zusammen und nennen sie SSL. Tatsächlich wurde SSL vor etwa zehn Jahren durch das TLS-Protokoll ersetzt de facto Standard für die Kryptographie, dennoch ist SSL noch weit verbreitet. Das macht POODLE gefährlich.
Wenn Sie eine Website besuchen, der Computer, der die Seite bereitstellt (Webserver) ist in der Lage, verschiedene Sicherheitsebenen für die Verschlüsselung bereitzustellen, von TLSv1.2 (dem neuesten und sicheren Protokoll) bis zu SSLv3 (dem älteren und weniger sicheren Protokoll). Auf diese Weise können Ihr Browser und der Webserver eine Verbindung mit demselben Protokoll herstellen, um sicher zu kommunizieren. Dies ist die grundlegende Methode, mit der Webbrowser und Server Man-in-the-Middle-Angriffe verhindern sollen. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr, wie POODLE.
Was macht POODLE??
POODLE versucht, die Verbindung zwischen Ihrem Webbrowser und dem Server auf SSLv3 herunterzustufen. In diesem Fall kann der Angreifer die Klartextinformationen aus der Kommunikation abrufen. Das bedeutet, dass sie auf Cookies zugreifen können, die häufig zum Speichern von Informationen verwendet werden. Einige davon können persönlicher und vertraulicher Natur sein. Was ist ein Cookie und was hat es mit meiner Privatsphäre zu tun? [MakeUseOf erklärt] Was ist ein Cookie und was hat es mit meiner Privatsphäre zu tun? [MakeUseOf Explains] Die meisten Menschen wissen, dass es überall im Internet Kekse gibt, die bereit sind, von jedem, der sie zuerst finden kann, aufgefressen zu werden. Warte was? Das kann nicht richtig sein. Ja, es gibt Cookies… Lesen Sie weiter. Was der Angreifer mit diesen Informationen macht, ist jedermanns Vermutung, aber es ist niemals etwas Gutes.
Auf der anderen Seite ist der POODLE-Angriff nicht der einfachste Weg für einen Angreifer, um Ihre Informationen zu erhalten. Es kann Hunderte, sogar Tausende von Versuchen dauern, um den POODLE-Angriff auf jemanden wirken zu lassen. Es ist also etwas, worüber man sich Sorgen machen muss, es ist jedoch nicht unbedingt so schlimm wie die aktuelle Heartbleed-Ausgabe Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Weiterlesen .
Wie kann ich mich vor POODLE schützen??
Zum Glück ist das ziemlich einfach. Zuerst sollten Sie sehen, ob Sie POODLE anfällig sind. Gehen Sie einfach zur POODLETest.com-Website. Wenn Sie einen Pudel sehen, müssen Sie einige Aufräumarbeiten erledigen. Wenn Sie den Springfield Terrier sehen, ist Ihr Browser einsatzbereit. Wenn Sie technisch versierter sind, besuchen Sie den SSL-Client-Test von Qualys SSL Labs. Es bietet detailliertere Details.
Das grundlegende Prinzip besteht darin, die SSLv3-Unterstützung in Ihrem Webbrowser zu deaktivieren. Wenn es deaktiviert ist, kann POODLE Ihren Browser NICHT auf dieses herunterstufen. Sehen wir uns an, wie Sie dies in Chrome, Internet Explorer und Firefox tun.
Beachten Sie, dass viele Websites immer noch SSLv3 verwenden möchten. Wenn Sie es deaktivieren, funktionieren diese Sites möglicherweise nicht so gut für Sie wie früher. Es würde nicht schaden, dieser Firma eine nette E-Mail mit einem Link zu diesem Artikel zu senden, damit sie sich des Problems bewusst sind. Hoffentlich werden sie auf TLS aufrüsten und alles wird wieder gut.
Chrom
Suchen Sie nach der Verknüpfung, die Sie zum Starten von Chrome verwenden. Klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf Eigenschaften.
Wenn der Eigenschaften Fenster öffnet sich, finden Sie das benannte Feld Ziel. Es sollte einen langen Pfad geben, wo sich die Chrome-Datei befindet. Es sollte so aussehen: “C: \ Programme (x86) \ Google \ Chrome \ Application \ chrome.exe” oder “C: \ Programme \ Google \ Chrome \ Application \ chrome.exe”.
Klicken Sie direkt hinter dem letzten Anführungszeichen und drücken Sie die Leertaste, um ein Leerzeichen zu erstellen. Geben Sie nun Folgendes ein:
-ssl-version-min = tls1
Sie können das auch von hier aus kopieren und einfügen. In diesem Fall wird Chrome dazu aufgefordert, TLSv1 als niedrigste Sicherheitsversion für Ihren Chrome-Browser zu verwenden. Klicke auf das Sich bewerben Schaltfläche am unteren Rand des Fensters, und wenn Sie Chrome das nächste Mal öffnen, wird es mit POODLE geprüft.
Internet Explorer
Öffnen Sie Ihren Internet Explorer und klicken Sie auf die Einstellungen Symbol. Es sieht aus wie ein Zahnrad. Klicken Sie jetzt auf Internet Optionen. Ein neues Fenster wird geöffnet.
Auf der rechten Seite sehen Sie eine Registerkarte mit der Bezeichnung Erweitert - Klick es an. In dem die Einstellungen Blättern Sie nach unten, bis Sie die Optionen sehen Verwenden Sie SSL 2.0 und verwenden Sie SSL 3.0.
Wenn in diesen beiden Feldern ein Häkchen angezeigt wird, deaktivieren Sie sie, indem Sie darauf klicken. Stellen Sie sicher, dass die Felder gekennzeichnet sind Verwenden Sie TLS 1.o, verwenden Sie TLS 1.1 und verwenden Sie TLS 1.2 geprüft werden. (Wenn Sie nicht alle drei TLS-Boxen besitzen, sollten Sie Ihren Internet Explorer aktualisieren.) Klicken Sie anschließend auf Sich bewerben und die OK Taste. Ihr Internet Explorer ist jetzt POODLE-geprüft.
Feuerfuchs
Wenn Sie ein Fan von Firefox sind, können Sie dem Fuchs helfen, den POODLE zu überlisten. Rufen Sie einfach die Firefox-Add-On-Seite für SSL-Versionskontrolle 0.2 auf, laden Sie dann das Add-On für SSL-Versionskontrolle 0.2 herunter und installieren Sie es. So einfach ist das.
Firefox hat außerdem angekündigt, dass die nächste Version, Firefox 34, die Unterstützung für SSLv3 deaktivieren wird. Allerdings wird diese Version laut ihrer Website erst im November veröffentlicht.
POODLE wird pochiert
Sobald die Mehrheit der Benutzer ihre Browser mit POODLE-Sicherheit unterstützt und die Mehrheit der Webserver SSLv3 nicht mehr verwendet, ist POODLE kein Problem mehr. Es gibt auch ein als TLS_FALLBACK_SCSV bekanntes Tool, das von Webservern und Browser-Programmierern zur Unterstützung implementiert werden kann. Dieses Tool erfordert leider sowohl den Webserver als auch den Browser. Das wird eine Weile dauern, bis alle implementiert sind. Nur dann bleibt SSLv3 auf der Strecke, wie es vor einem Jahrzehnt hätte sein sollen. Verbreiten Sie das Wort und machen Sie das Web zu einem sichereren Ort.
Bildnachweise: Wütender Pudel, HTTPS-Vektorbild über Shutterstock.
Erfahren Sie mehr über: Verschlüsselung, Online-Sicherheit.