ניצול חדש האם בדפדפן שלך עכשיו - כיצד להגן על עצמך
כאשר אתה מדבר באינטרנט, אתה צריך להסכים על שפה שבה לתקשר. מה אם אתה רוצה לדבר באופן פרטי? ובכן, יש הצפנה עבור זה. אבל בדיוק כמו כל סוג אחר של תקשורת, אתה גם צריך להיות סוג של הצפנה, כי אתה יכול להשתמש הדדית עם מי אתה מדבר. מאחר שלא כל הדפדפנים משתמשים באותם אלגוריתמים, לעתים השרתים חייבים לשמור על תאימות עם אלגוריתמים שיכולים להיות מסוכנים למדי. Google גילתה לאחרונה רק ניצול לרעה, שבאותו רגע יכול להשפיע על מיליוני דפדפנים ברחבי העולם המשתמשים באלגוריתם כזה, ואנחנו הולכים לדבר על זה!
מה קרה?
זכור כי Heartbleed באג זה היה להיות דיווח כמעט בכל אתר טק? הנה ריצה למטה אם אתה לא רוצה לקרוא קיר שלם של טקסט: OpenSSL (ספריית אלגוריתם ההצפנה בשימוש על ידי אתרי אינטרנט רבים ברחבי העולם) היה חור זה. רוב אתרי אינטרנט בינוניים וגדולים פקדו את זה בהצלחה על ידי פשוט לשדרג OpenSSL. כל זה נעשה ואבק עד שמשהו אחר קרה.
הפעם, מה שידוע בתור Poodle לנצל הוא שוב plague Secure Sockets Layer (SSL), אם כי גרסה אחרת של זה לגמרי. SSL 3.0 יש באג רציני המאפשר האקרים בקלות לפענח קבצי Cookie שנשלחו על פרוטוקול HTTP. זה יאפשר להם לראות פרטים אישיים השייכים לפגישה הכניסה שלך ואף לאפשר להם להתחזות לך.
הפתרון
SSL 3.0 הוא קריפטוגרפיה ישנה מאוד, שראשיתה בימים שבהם MySpace עדיין צובר תאוצה כמדיה חברתית. למעשה, המונח "מדיה חברתית" לא היה פופולארי אפילו אז. רבים מן המילניום של היום היו נכנסים לגיל העשרה שלהם או עדיין משחקים בעפר בהפסקה בכיתה ה '. זה בן כמה זה, ושרתים עדיין משתמשים בו!
מאז כמה שיפורים גדולים נעשו, כגון Transport Layer Security (TLS). זה פרוטוקול הצפנה חדשה מבטלת רבים של בעיות גדולות שהיו נוכחים ב- SSL, כגון פגיעויות שהובילו להתקפות מסוימות (כגון שרשור בלוק צופן אשר נפתרה ב TLS 1.1). הסיבה היחידה TLS הצורך ראשי תיבות חדשים היה שזה כבר לא "interoperable" ב- SSL. מה שאנחנו יודעים את זה תעשייתי, אומר את זה כאשר אנו אומרים כי משהו "interoperable" היא כי זה יכול לעבוד עם גרסאות ישנות יותר של משהו.
אז, SSL 3.0 הוא מת ועכשיו אנחנו משתמשים במה שנקרא TLS 1.2. הבעיה היחידה היא שעדיין יש דפדפנים רבים המשתמשים ב- SSL 3.0 להעברת נתונים. השרתים עדיין תומכים בו כמשהו בטוח במקרה שהדפדפנים המתחברים אליהם אינם תומכים ב- TLS. החלק הגרוע ביותר הוא שגם אם הדפדפן שלך מפרסם את תאימותו עם TLS, אין ערובה שהשרת לא יגיב עם SSL 3.0. האקרים יכולים להשתמש בו כדי לאלץ את הדפדפן שלך ואת השרתים לשלוח לך נתונים כדי לדבוק בפרוטוקול הישן. מסיבה זו והסיבה הזאת בלבד, לנצל את פודל הוא עדיין עניין גדול.
גוגל יש הצעה: למה אנחנו פשוט לא להפסיק לתמוך SSL 3.0 ו להנחות את כולם להשתמש בו כדי לשדרג? לאנשים שמפעילים שרתים ומפתחי דפדפן, העצה הטובה ביותר של Google היא לתמוך ב- TLS_FALLBACK-SCSV. במילים פשוטות, הפסק לקבל חיבורי SSL ורק קבל אותם ב- TLS.
כרגע, גוגל אומרת שהיא פועלת לשינויים ב- Chrome כדי למנוע ממנה לחזור ל- SSL. מפתחי דפדפן אחרים עשויים לפעול בהתאם.
העצה הטובה ביותר שלי היא לשמור על הדפדפן שלך מעודכן ולוודא שאתה לא הולך לאתרים שאתה לא בוטח בהם. חוץ מזה, אתה יכול גם דוא"ל מנהלי האתר עם החששות שלך ולקשר אותם למאמר זה.
כל עצות שימושיות אחרות?
אם אתה חושב שיש לך משהו מועיל להוסיף לדיון זה, נא להמשיך ולהשאיר אותו בתגובה! כולם צריכים להיות מודעים לכל מה שהם יכולים לעשות כדי לשמור על האבטחה של כל המידע שלהם בעת גלישה באינטרנט.