什么是POODLE漏洞?以及如何击败它

POODLE黑客方法使窥探者有机会破解保护您的Web传输的加密。该攻击利用了用于保护HTTPS协议的加密方法的弱点。此安全漏洞威胁到电子商务的成功,因为HTTPS提供了消费者可靠地将其信用卡详细信息输入到网页中所需的安全性。.


安全套接字层

在万维网的早期,Netscape浏览器占主导地位。免费浏览器的所有者Netscape Corporation希望鼓励公众使用Internet,并发现免费的自动安全系统将鼓励Internet上的销售增长,从而使Web成为购物场所。他们发明了安全套接字层来提供这种安全性.

彼此通信的计算机都需要遵循相同的规则集。他们需要使用一本通用的代码簿,以便请求的接收者可以理解请求中接收到的每个消息的内容,并以请求者可以理解的方式打包答复。这套规则称为协议.

Web页面的请求和传递的标准协议称为超文本传输​​协议。的 "http://" 网页地址前面的表示浏览器正在使用此标准来访问网页代码。随着超文本传输​​协议的安全,这种情况在当今变得越来越少见。 "https://" 成为标准。顾名思义,这是安全得多的,因为创建者Netscape添加了SSL.

SSL成为行业标准,HTTPS迅速成为请求和传递Web页面的首选方法。 HTTPS连接中两台计算机之间的数据传输已加密。当两台计算机建立连接时,客户端(请求者)要求验证服务器的身份。这由保存在第三方计算机上的证书提供。该证书包括一个公共加密密钥,客户端使用该密钥来加密所有后续消息.

SSL问题

SSL演变为第三个版本,称为SSL 3.0。但是,一些安全漏洞引起了对该系统的担忧。能够窃听Internet上的电线或通过伪造的WiFi热点吸引流量的黑客可以拦截证书请求并提供自己的副本。伪造的证书将在每个细节上模仿真实的证书,但加密密钥除外。然后,受欺骗的客户端计算机将使用黑客的密钥来加密所有消息。然后,黑客将能够读取客户端计算机发送的所有信息,包括所有者的信用卡详细信息和登录凭据.

这种技巧被称为 "中间的人" 攻击。黑客软件解密客户端的消息,将其存储,然后使用服务器的实际加密密钥对其进行重新加密,然后继续发送。从服务器到客户端的回复将被拦截,重新加密然后转发。因此,任何一方都没有意识到他们之间存在窥探者.

传输层安全

在SSL 3.0的中间攻击中,又有一种类型的人使Internet工程任务组在2015年宣布SSL不再有效。已经开发了一种更安全的SSL替代方案。这是传输层安全协议,通常称为TLS。伪造证书的问题可以通过程序解决,但是加密系统的缺陷意味着整个系统从根本上来说是有缺陷的。杀死SSL的黑客围绕用于转换文本以使其加密的阻止方法.

TLS现在已经成熟,并且已经超越了其第一个版本。正如您稍后将阅读的那样,可以将TLS 1.0诱骗回滚到SSL 3.0过程,因此您还需要保护自己免受该协议版本的侵害。.

什么是POODLE SSL漏洞?

用于SSL的加密方法的最大安全弱点是POODLE的基础。 POODLE代表 "在降级的旧版加密上填充Oracle." 的 "旧版降级" 名称的一部分将在本报告的下一部分中说明。但是,让我们先来看一下该恶意软件的存在位置.

POODLE漏洞利用程序不必位于您的计算机上。它可以在计算机和浏览器要从中请求网页的服务器之间的任何位置引入。像许多加密系统一样,SSL使用密码块链接。这需要一段文本并将其排列成一个块。黑客向每个文本块中注入一个测试字节以显示加密密钥.

该方法依赖于将JavaScript注入正在传递的网页代码中的能力。此事件可能发生在服务器上,传输过程中或接收计算机上。因此,您无法使用反恶意软件来保护自己免受这种攻击,因为恶意程序很可能不驻留在您的计算机上.

向后兼容

与世界上任何计算机进行通信的能力为所有网络,Internet和Web协议提供了推动力。不幸的是,并不是每个人都能使他们的软件保持最新。有些人仍在运行旧版本的浏览器,而某些Internet软件生产商则花时间来创建其程序的新版本。.

考虑到这一点,Internet协议通常包括某种形式的向后兼容。 TLS的协商过程遵循此原则。当客户端尝试打开与服务器的会话时,将遵循TLS协议进行初始联系。但是,如果服务器不理解该请求,则假定服务器仍在运行SSL 3.0。然后,客户端计算机将切换到SSL 3.0过程以尝试与服务器建立连接。.

这是 "旧版降级" POODLE名称的一部分。 POODLE的开发人员无法破解TLS。但是,他们在协议的过程中发现了此向后兼容功能。通过强迫客户端切换到SSL 3.0,黑客能够实施众所周知的密码块链接攻击.

由于这是中间人利用,因此服务器很可能能够使用TLS。但是,客户端计算机不知道这一点,因为黑客软件假装它是服务器.

在浏览器中禁用SSL 3.0

您无需购买任何杀毒软件即可击败POODLE。当使用TLS没有响应时,您只需要阻止浏览器尝试使用SSL 3.0中的请求即可。该修补程序对于Internet Explorer和Google Chrome尤其容易实现,并且无论您运行哪种操作系统,该修补程序都是相同的。如果同时使用两者,则只需在其中一个中阻止SSL 3.0,另一个将自动具有新设置.

在Internet Explorer中禁用SSL 3.0

您可以按照以下步骤在Internet Explorer中禁用SSL 3.0.

1.转到Internet选项

单击浏览器右上方的齿轮符号,然后选择 "互联网选项" 从下拉菜单.

Internet Explorer菜单

2.转到高级Internet选项

单击“ Internet选项”屏幕中的“高级”选项卡,然后向下滚动到“设置”面板中的“安全性”部分.

Internet Explorer的SSL设置

3.取消选择SSL 3.0

取消选择 "使用SSL 3.0"和 "使用TLS 1.0" 复选框。单击应用按钮,然后按确定.

Google Chrome浏览器说明

Google Chrome的基础网络设置与Internet Explorer的基础网络设置完全相同。您只是通过稍微不同的路线进入“设置”屏幕.

1.转到Google Chrome设置

单击浏览器顶部地址字段末尾的菜单,然后从下拉菜单中选择设置。.

Google Chrome浏览器菜单

2.转到高级Chrome设置

在“设置”页面中向下滚动,然后单击“高级”.

Google Chrome浏览器中的“高级设置”选项

3.转到代理设置

继续向下至“系统”部分,然后单击旁边的方框 "打开代理设置."

这将打开“ Internet属性”窗口.

4.打开高级代理设置

单击“高级”选项卡,然后向下滚动到“设置”面板中的“安全性”部分.

5.取消选择SSL 3.0

取消选择 "使用SSL 3.0"和 "使用TLS 1.0" 复选框。单击应用按钮,然后按确定.

Internet Explorer的SSL设置

歌剧说明

默认情况下,Opera 12中禁止使用SSL 3.0。因此,保护​​自己免受POODLE侵害的最简单方法是升级浏览器.

1.下载最新的Opera Build

导航到Opera网站的“下载”页面。下载适合您系统的内部版本并安装它.

Opera浏览器下载页面

2.完成安装并覆盖所有Opera安装

让安装程序运行通过。单击使用条款协议,向导将使用受POODLE保护的新版本覆盖旧的Opera版本.

Mozilla Firefox的说明

Mozilla系统稍微复杂一些。您需要在浏览器上打开一个带有隐藏地址的特殊页面.

1.转到关于配置设置

类型 "关于:配置" 在浏览器的地址字段中。中世纪的诅咒会警告您。点击 "我保证,我会小心的!" 接着说.

Firefox配置警告消息

2.搜索TLS

输入 "tls" 在搜索框中,然后双击 "security.tls.version.min."

Firefox的TLS设置

3.更改TLS设置

输入 "2" 在答案弹出窗口中。这将为您提供TLS版本1.1作为最低安全协议。单击确定以保存此设置.

Firefox TLS设置

Microsoft Edge说明

如果运行Windows 10,则将具有Microsoft Edge。这是Internet Explorer的替代产品,它是在发生POODLE攻击后编写的,因此它没有回滚到SSL 3.0的功能。您无需执行任何操作即可在此浏览器中禁用SSL 3.0,因为它已被排除.

其他浏览器漏洞

Web浏览器是大多数公众访问Internet的门户,这使它们成为黑客经常攻击的目标。浏览器的生产者意识到新发现的弱点,并经常进行更新以关闭这些访问路径以进行恶意攻击。这就是为什么定期检查您喜欢的浏览器的新版本并进行安装很重要的原因。 Qualys Browser Check是检查您的浏览器及其插件是否最新的快速方法。.

Adobe Flash Player

发现Adobe Flash Player为黑客提供了进入浏览器的良好途径,因此大多数安全专家建议不要安装其浏览器扩展版本。 Flash下载到计算机上的cookie不会通过标准浏览器cookie删除功能清除。您可以控制使用Flashblock访问的网页中包含Flash代码,该功能可用于Firefox.

在Chrome中阻止Flash

在Google Chrome浏览器中,您可以按照以下说明选择阻止或控制Flash内容.

  1. 单击地址字段末尾的菜单,然后从下拉菜单中选择设置。.
  2. 在“设置”页面中向下滚动,然后单击“高级”.
  3. 继续浏览页面,然后单击 "内容设置" 隐私和安全部分中的箭头.
  4. 点击 "内容设置" 页.
  5. 选择是完全阻止还是允许Flash,但只能通过移动页面顶部的两个设置滑块来获得特定批准才能运行.

在Internet Explorer中阻止Flash

在Internet Explorer中,您可以通过控制Active-X设置来停止在您访问的页面上运行Flash插入.

  1. 单击浏览器右上方的齿轮。从下拉菜单中选择安全,然后单击 "ActiveX筛选" 在子菜单中.
  2. 此选项旁边会出现一个勾号.
  3. 在Adobe Flash Player帮助页面上测试块.

在Microsoft Edge中阻止Flash

在Microsoft Edge中,您可以按照以下简单步骤阻止Flash.

  1. 单击浏览器右上方的三个点菜单图标。从下拉菜单中选择设置.
  2. 在“设置”菜单中,向下滚动并单击 "查看高级设置."
  3. 点击 "使用Adobe Flash Player" 滑杆到关.
  4. 在Adobe Flash Player帮助页面上测试块.

社交媒体按钮和跟踪库

当您访问具有一行社交媒体(如按钮)的网页时,这些按钮会记录您的访问。因此,即使您没有Facebook帐户,Facebook也会在您上网的任何地方进行记录。 Twitter和Instagram也通过页面上按钮的存在来收集数据,即使您未单击它们也是如此.

许多网站都包含其他公司实际投放的广告空间。网络上的第三方广告部门主要由GoogleAds主导。网站所有者可以通过展示广告来赚一点钱。网络广告可以比广告牌或新闻广告复杂得多,因为它们能够收集访问参与网站的用户的数据.

您可能已经注意到,如果您访问一个网站,考虑购买其产品,但是却一无所获,那么您随后访问的每个页面上都会看到该公司及其产品的广告。这种现象称为重新定位或再营销,可以通过跟踪软件来实现.

跟踪器收集有关您的计算机,浏览器和浏览活动的个人信息和数据。这些因素被称为 "用户代理" 并且即使您通过VPN伪装身份也可以帮助您识别自己.

您可以通过安装浏览器扩展程序来取消跟踪.

Windscribe为Google Chrome,Opera和Firefox生成了浏览器扩展。这是一项免费的VPN服务,但它包含其他隐私实用程序,其中包括跟踪程序阻止程序和社交媒体按钮删除程序。即使未打开VPN,这些选项也可以保护您的计算机.

Windscribe浏览器扩展中的隐私保护

的 "人格分裂" 扩展程序的选项会针对那些用户代理因素发送虚假的设置数据,即使您使用VPN更改IP地址,跟踪器和身份检测软件也可以使用这些用户代理因素来识别您的身份.

Windscribe附加组件具有一项称为“安全链接”的功能,该功能可报告加载到浏览器中的每个页面的安全风险.

Secure.Link报告

Windscribe扩展程序可用于Google Chrome,Firefox和Opera浏览器。不幸的是,没有用于Internet Explorer或Microsoft Edge的版本.

Adblock Plus将阻止跟踪器代码并从您访问的网站中删除社交媒体按钮,并阻止广告。这是一个免费的附件,可用于Internet Explorer和Microsoft Edge.

隐私弱点

Web技术的开放性为黑客提供了机会,使他们可以通过跨Internet的每条消息开头的管理标头中包含的小信息来针对个人。.

用于Internet通信的地址格式意味着可以将每个人都跟踪到一个位置。通过采用区域限制来限制对其内容的访问的网站可以利用此弱点。想要阻止访问某些站点的政府也使用此信息来阻止公民访问那些地址.

VPN通过用临时IP地址代替客户的真实地址来掩盖用户的身份。您可能看上去在另一个位置,并且您建立的每个连接的真实目的地都对Internet服务提供商隐藏了,因此Internet入口点不能用于控制对站点的访问.

最好的VPN通过代替连接的真实来源来创建隐私。因此,当您的计算机连接到Web服务器时,它实际上是在连接VPN服务器,然后VPN服务器代表客户计算机与所需的服务器进行通信。.

POODLE SSL漏洞总结

万维网的复杂性涉及各种各样的技术和许多联系点,以便无缝地交付Web服务。任何涉及不同公司和技术的系统都可能导致许多潜在的故障。黑客利用的正是这些弱点.

网络安全是一个移动的目标。一旦一个弱点被关闭,黑客就会发现另一个弱点。 POODLE漏洞是一个很好的例子,这些人非常聪明,他们想一劳永逸地赚钱,可以克服最强大的防御.

对于SSL, "好人" 发现了该协议的弱点,并用一种​​全新的安全方法替换了它:TLS。但是,设计TLS的人的良好意愿造成了黑客可以利用的弱点。 TLS与SSL 3.0的向后兼容性为犯罪分子提供了重温其旧技巧的机会.

保持所有软件的更新,以防范安全漏洞。争取安全和隐私的斗争一直在进行。不要放弃警惕。确保自己安全.

图片来源: 马克·布鲁塞尔(Marc Bruxelle)// ShutterStock

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me