SSL 3.0 ist tot! Sichern Sie Ihren Browser gegen den Pudelangriff
Verwenden einer Schwachstelle im SSL 3.0, Angreifer können bösartigen Code in Ihren Computer einschleusen und diesen gefährden. Sie können auch Webhosting-Server mit demselben SSL 3.0 gefährden. Die meisten Browser unterstützen weiterhin SSL3, da die meisten Webserver SSL 3.0 für die Kommunikation wie Anmeldung, Ausfüllen von Formularen usw. verwenden.
Pudel-Sicherheitsangriff
Secure Sockets Layer oder SSL ist ein kryptografisches Protokoll, das Kommunikationssicherheit über das Internet bietet. Es ist jetzt von übergegangen Transport Layer Security oder TLS.
Das Pudelangriff ermöglicht es einem Internetkriminellen, Daten abzufangen, die über die SSL3-Verbindung gesendet werden. Er kann nicht nur die Daten abfangen, der Internet-Kriminelle kann auch seine eigenen Daten in die Verbindung einfügen, sodass die Website glaubt, dass sie vom Browser stammen. Ebenso lässt der Browser glauben, dass die schädlichen Daten vom Webserver stammen.
POODLE steht für Padding Oracle für die herabgestufte ältere Verschlüsselung. Es ist ein Protokollfehler und hängt nicht von der Implementierung ab. Dies bedeutet, dass der Fehler unabhängig von der Implementierung von SSL3 durch Browser oder Hosts für Angreifer vorhanden sein kann. Die einzige Methode, um sich vor Hacking zu schützen, ist das Deaktivieren von SSL3.0 in Ihren Browsern und auf Ihren Webhosting-Servern.
Sie können die Sicherheitsanfälligkeit Ihrer Browser testen, indem Sie diese Website mit dem Browser aufrufen, den Sie überprüfen möchten: ssllabs.com.
Deaktivieren Sie SSL 3.0
Um sich vor Poodle-Sicherheitsangriffen zu schützen, sollten Sie SSL 3.0 in Ihrem Webbrowser deaktivieren oder sperren.
Internet Explorer : Öffnen Sie in der Systemsteuerung das Dialogfeld "Internetoptionen", und wechseln Sie zur Registerkarte "Erweitert". Suchen Sie nach Use SSL 3.0 und deaktivieren Sie es.
Microsoft hat ein Fix It veröffentlicht, mit dem Benutzer SSL 3.0 in Internet Explorer deaktivieren können. Microsoft hat außerdem angekündigt, dass SSL 3.0 in den kommenden Monaten in der Standardkonfiguration von Internet Explorer und für Microsoft-Onlinedienste deaktiviert wird, und empfiehlt Kunden, Clients und Dienste zu sichereren Sicherheitsprotokollen wie TLS 1.0, TLS 1.1 oder TLS zu migrieren 1.2.
Firefox : Um zu der Option zum Deaktivieren von SSL3 zu gelangen, geben Sie "about: config" in die Adressleiste ein. Suchen nach security.tls.version.min in den Ergebnissen oder verwenden Sie die Suchleiste, um danach zu suchen. Doppelklicken Sie auf die Zeile und ändern Sie den Wert von 0 in 1. Dadurch wird Firefox gezwungen, nur TLS1.0 und höher zu verwenden, wodurch SSL3.0 deaktiviert wird.
Firefox hat bereits angekündigt, SSL 3.0 in der nächsten Version zu deaktivieren, genauso wie Java 6 deaktiviert wurde, als letzteres als anfällig befunden wurde.
Google Chrome: In den Einstellungen nicht sichtbar. Der Chrome-Verknüpfung muss ein Parameter hinzugefügt werden, damit SSL3 deaktiviert wird und nur TLS erzwingt. Klicken Sie mit der rechten Maustaste auf die Verknüpfung, und wählen Sie Eigenschaften aus. Hängen Sie im Feld Ziel an -ssl-version-min = tls1. Ihr Pfad sollte also wie folgt aussehen:
"C: \ Programme (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = tls1
Sogar Google hat gesagt, dass es in den kommenden Monaten hofft, die Unterstützung für SSL 3.0 vollständig von allen Client-Produkten zu entfernen
Websitebesitzer oder HostsAls Websitebesitzer oder Webhost sollten Sie SSL 3 auf Ihren Servern so bald wie möglich deaktivieren
Um vollständige Informationen zur POODLE-Attacke und zur SSL 3.0-Sicherheitsanfälligkeit zu erhalten, besuchen Sie bitte oracle.com.