Google đã phát hiện ra một lỗ hổng trong tiêu chuẩn mã hóa SSL lỗi thời nhưng phổ biến.
Các công nghệ web cũ hơn thường vẫn được sử dụng rộng rãi nhưng không phải lúc nào cũng đáp ứng được các tiêu chuẩn bảo mật cần thiết. Ba nhà nghiên cứu bảo mật tại Google đã chỉ ra rằng tiêu chuẩn mã hóa SSL có thể bị phá vỡ thông qua một lỗ hổng được đặt tên là Poodle.
chó xù khiến việc sử dụng SSL 15 tuổi gần như không thể thực hiện được 3.0giao thức để sử dụng một cách an toàn. Lỗ hổng này cho phép kẻ tấn công có quyền truy cập mạng giải mã lại các gói được mã hóa bằng SSL. Dựa theo Bảo mật lỗi cookie phiên là một mục tiêu đặc biệt thú vị, chúng cho phép hacker đăng nhập vào một trang web với tư cách là bạn, ngay cả khi hắn không biết mật khẩu của bạn. Để ngăn chặn hành vi lạm dụng, cả trang web và trình duyệt phải được định cấu hình để ngừng sử dụng SSL.
[related_article id=”158901″]
Nghe có vẻ là một giải pháp tương đối đơn giản nhưng vấn đề là SSL 3.0, mặc dù không được dùng nữa nhưng vẫn được hỗ trợ. Các trình duyệt và máy chủ HTTP bảo mật vẫn có thể sử dụng nó trong trường hợp chúng gặp sự cố khi sử dụng TLS, phiên bản kế thừa SSL tiên tiến hơn và ít bị tổn thương hơn.
Tin vui là việc sử dụng SSL 3.0 đã giảm mạnh. Từ một học từ Đại học Michigan cho thấy ít hơn 1 phần trăm lưu lượng truy cập web phụ thuộc một phần hoặc hoàn toàn vào SSL 3.0. Tuy nhiên, vấn đề lớn là hầu như tất cả các trang web và trình duyệt vẫn hỗ trợ tiêu chuẩn này và hacker có thể thao túng trình duyệt của bạn để sử dụng SSL.
Giải pháp dứt khoát duy nhất để loại bỏ Poodle là ngừng hoàn toàn hỗ trợ SSL. Google Và Mozilla đã thông báo rằng họ sẽ ngừng hỗ trợ trình duyệt của mình. Vô hiệu hóa SSL 3.0 trên máy chủ web khó khăn hơn vì nhiều người dùng internet vẫn lướt qua Internet Explorer hơn mười năm tuổi 6chỉ có SSL 3.0 hỗ trợ. Nếu máy chủ web ngừng hỗ trợ, người dùng IE6 sẽ không thể kết nối với chúng nữa.
Làm thế nào tôi có thể tự bảo vệ mình?
May mắn thay, vẫn có một số điều bạn có thể làm để hạn chế rủi ro, miễn là SSL 3.0 không hoàn toàn giải quyết được thế giới. Việc lạm dụng Poodle đòi hỏi cái được gọi là cuộc tấn công trung gian. Điều đó có nghĩa là hacker phải có quyền truy cập vào mạng bạn đang lướt. Bạn thường được bảo vệ ở nhà, miễn là mạng WiFi của bạn được bảo mật. Tránh các mạng Wi-Fi công cộng, nơi bạn cho phép các tin tặc tiềm năng tự do kiểm soát.
Để hoàn toàn yên tâm, bạn có thể tự cài đặt SSL 3.0 vô hiệu hóa nó trong trình duyệt của bạn để lỗ hổng không thể bị khai thác. Khi đó bạn sẽ không thể truy cập các trang web yêu cầu SSL nữa nhưng như đã đề cập ở trên, đó là số lượng trang web không đáng kể. Cách tắt SSL chính xác là khác nhau đối với tất cả các trình duyệt. TRÊN trang này được giải thích từng bước cho mỗi trình duyệt cách tiến hành. Sau đó bạn có thể trải qua điều này Kiểm tra chó xù xác minh rằng bạn được bảo vệ. Cuối cùng, một mẹo dành cho người dùng Internet Explorer 6: chuyển sang một giải pháp thay thế hiện đại hơn.
