Pudli vagy terrier? Ellenőrizze a böngészőjét!

( 2 db szavazat ) 

Épp azon a napon hozták nyilvánosságra az SSL hibáját, amikor a titkosítási protokoll kifejlesztője, a Netscape ünnepelheti születésnapját. A megoldás egyszerű: tiltani kell az SSL 3.0 használatát. A felfedező Google reméli, hogy a sebezhető technológia gyorsan kikopik a használatból, és mind az üzemeltetőket, mind a szofverfejlesztőket együttműködésre kéri. - írja az itcafe.hu.

A Google kutatói bejelentették, hogy súlyos sebezhetőséget találtak egy régi, ám még mindig használatos titkosító protokollban, mely bizonyos körülmények között lehetővé teszi a támadó számára, hogy a böngészőn keresztül személyes adatokat szerezzenek meg a felhasználóktól.

https://www.poodletest.com/

A POODLE-nek (pudlinak) elnevezett hiba az SSL, azaz a szerverek és a kliensgépek közötti adatforgalom titkosítását végző Secure Sockets Layer közel 20 éves, 3.0-s verziójában található – a felfedezők, Bodo Möller, Thai Duong és Krzysztof Kotowicz a „Padding Oracle On Downgraded Legacy Encryption” kifejezésből alkották meg a betűszót. A böngészőkben ugyan már jórészt a protokoll továbbfejlesztett változatát (Transport Layer Security – TLS) használják, de legtöbbjük elfogadja az SSL 3.0-t is – és ha egy adott szerver is támogatja ezt, akkor válik a folyamat, így a felhasználó is támadhatóvá, ugyanis a zökkenőmentes működés érdekében sok környezetben engedélyezik az átmeneti visszalépést (downgrade), ha a TLS-nél valamiféle problémát érzékelnek.

A sebezhetőség kockázatának súlyosságáról megoszlanak a vélemények, mivel nem túl egyszerű kihasználni a hibát. Mint Robert Graham felhívja rá figyelmet blogjában, a támadónak mindenképp szükséges beavatkoznia az adatáramlásba, vagyis alkalmaznia kell egy MitM (man-in-the-middle) támadást is, és ehhez a legtöbb esetben a JavaScript futására is szükség van a böngészőben – épp ezért a nyilvános wifit használók vannak igazán veszélyben. Arra is figyelmeztet, hogy a sikeres támadás során nem hackelik meg a felhasználó számítógépét, „csak” a titkosított üzenetek tartalmát ismerhetik meg.

A védekezést tárgyalva Graham kifejti, hogy bár a megoldás viszonylag egyszerűnek tűnik – ha a szerver és a kliens közül az egyik nem támogatja az SSL 3.0-t, akkor támadás nem lehetséges –, szerveroldalon problematikus a tiltás, mivel a szolgáltatók főként a már őskövületnek számító, ám még mindig használt Internet Explorer 6 miatt engedik a downgrade-et – ha ezt nem teszik meg, akkor az IE6-tal nem lehet elérni az oldalaikat. A gyakorlottabb felhasználóknak a szakember tanácsot is ad a protokoll letiltásához: „On Chrome, use the command-line flag --ssl-version-min=tls1, and on Firefox set security.tls.version.min to 1.”(Ajánljuk még ezt, a Grahaménél technikaibb jellegű leírást is.)

A Google már kidolgozott egy olyan technológiai megoldást, egy workaroundot a szerverek részére, mely nem engedi az SSL 3.0-t használni, ennek alkalmazását ajánlják az üzemeltetőknek, de ugyanakkor sürgetik a kliensoldali támogatás megszüntetését is. Ezzel összhangban a Mozilla is bejelentette, hogy a november 25-én kiadandó új Firefox-verzióban már alapértelmezetten tiltva lesz az SSL 3.0 használata. A Microsoft is kiadott egy tájékoztatót, melyben felhívják ügyfeleik figyelmét, hogy mind a szervereken, mind a PC-ken tiltsák le az SSL 3.0 támogatását.

Időközben a felhasználók számára megjelent egy teszt is: ha az oldalra belépve az ember egy pudlit lát, akkor sebezhető a böngészője, ha terriert, akkor a böngészője nem támogatja az SSL 3.0-t, így biztonságban van.

Előző hónap Augusztus 2017 Következő hónap
H K Sz Cs P Szo V
week 31 1 2 3 4 5 6
week 32 7 8 9 10 11 12 13
week 33 14 15 16 17 18 19 20
week 34 21 22 23 24 25 26 27
week 35 28 29 30 31
Nincsenek események
Feliratkozás a SecurityMag hírlevelére:

Partnereink

Secutech kiállítás 2015 részletek

Secutech Kiállítás 

http://abibiometrics.com/
Alkalmazott Biometria Intézet
http://bgk.uni-obuda.hu/
Óbudai Egyetem
www.asmag.com
a&s Magazine online
http://www.dsalert.org/
DSA Magazine India
http://biztonsagtechnikaforum.hu/
Biztonságtechnika Fórum
http://www.ormester.hu
Őrmester NyRt.
 
 
CNS Digital Media Kft.
 
 
 
  • A világ legzöldebb adatközpontja a norvég fjordok szomszédságában
  • Milyen városokban fogunk élni 2020-ban?
  • Itt repül a kamera! - A legizgalmasabb drón kutatás-fejlesztési ötlet
  • Folyékony akkumulátorral tárolnák a napenergiát
  • ATM bekamerázása l'art pour l'art - Románia