SSL 3.0 è morto! Proteggi il tuo browser dal Poodle Attack

Utilizzando una vulnerabilità in SSL 3.0, gli aggressori possono iniettare codice dannoso nel computer e comprometterlo. Possono anche compromettere i server di web hosting utilizzando lo stesso SSL 3.0. La maggior parte dei browser supporta ancora SSL3, poiché la maggior parte dei server Web utilizza ancora SSL 3.0 per le comunicazioni come l'accesso, il riempimento di moduli di qualsiasi tipo, ecc..

Poodle attacco di sicurezza

Secure Sockets Layer o SSL è un protocollo crittografico progettato per fornire sicurezza di comunicazione su Internet. Ora è superato da Transport Layer Security o TLS.

Il Attacco barboncino consente a un criminale Web di intercettare i dati inviati tramite la connessione SSL3. Non solo lui o lei può intercettare i dati, il criminale web può iniettare i propri dati nella connessione, facendo credere al sito che proviene dal browser. Allo stesso modo, fa credere al browser che i dati dannosi provengano dal server web.

POODLE è l'abbreviazione di Riempimento Oracle On Crittografia legacy declassata. È un difetto di protocollo e non correlato all'implementazione. Significa che indipendentemente da come SSL3 è implementato dai browser o dagli host, il difetto sarà lì per gli aggressori da sfruttare. L'unico metodo per salvarti dall'essere hackerato consiste nel disabilitare SSL3.0 nei tuoi browser e nei tuoi server di hosting web.

Puoi testare la vulnerabilità dei tuoi browser visitando questo sito Web utilizzando il browser che desideri controllare: ssllabs.com.

Disattiva SSL 3.0

Per proteggersi dagli attacchi di sicurezza di Poodle, potresti voler disattivare o bloccare SSL 3.0 nel tuo browser web.

Internet Explorer : Apri la finestra di dialogo Opzioni Internet dal Pannello di controllo e vai alla scheda Avanzate. Verifica l'utilizzo di SSL 3.0 e deselezionalo.

Microsoft ha rilasciato una correzione che consente agli utenti di disabilitare SSL 3.0 in Internet Explorer. Microsoft ha inoltre annunciato che SSL 3.0 verrà disabilitato nella configurazione predefinita di Internet Explorer e tra i servizi online Microsoft nei prossimi mesi e raccomanda ai clienti di migrare client e servizi su protocolli di sicurezza più sicuri, come TLS 1.0, TLS 1.1 o TLS 1.2.

Firefox : Per ottenere l'opzione per disabilitare SSL3, digitare "about: config" nella barra degli indirizzi. Cercare security.tls.version.min nei risultati o utilizzare la barra di ricerca per cercarlo. Fare doppio clic sulla riga e modificare il valore da 0 a 1. Questo costringerà Firefox a utilizzare solo TLS1.0 e versioni successive disabilitando SSL3.0.

Firefox ha già detto che disabiliterà SSL 3.0 nella prossima versione, proprio come hanno disabilitato Java 6 quando quest'ultimo è risultato essere molto vulnerabile.

Google Chrome: Non è visibile nelle impostazioni. Si deve aggiungere un parametro al collegamento di Chrome in modo che disabiliti SSL3 e imponga solo TLS. Fare clic con il tasto destro sul suo collegamento e selezionare Proprietà. Nel campo etichettato Target, append -ssl-versione-min = TLS1. Quindi il tuo percorso dovrebbe apparire come:

"C: \ Programmi (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = tls1

Anche Google ha detto che, nei prossimi mesi, spera di rimuovere completamente il supporto per SSL 3.0 da tutti i suoi prodotti client

Proprietari o host del sito: In qualità di proprietario di un sito Web o di un host Web, è consigliabile disattivare il protocollo SSL 3 sui server non appena possibile