Когда вы общаетесь в Интернете, вам необходимо договориться о языке общения. Что делать, если вы хотите поговорить наедине? Ну, для этого есть шифрование. Но, как и при любом другом виде общения, вам также необходима форма шифрования, которую вы можете использовать совместно с кем бы вы ни разговаривали. Поскольку не все браузеры используют одни и те же алгоритмы, серверам иногда приходится сохранять совместимость с алгоритмами, что может быть весьма опасно. Совсем недавно Google обнаружил эксплойт, который в настоящий момент может повлиять на миллионы браузеров по всему миру, использующих такой алгоритм, и мы собираемся об этом поговорить!
Что случилось?
Помните тот Ошибка сердечного кровотечения , о котором сообщалось почти на каждом технологическом сайте? Вот краткое изложение, если вы не хотите читать целую стену текста: в OpenSSL (библиотеке алгоритмов шифрования, используемой многими веб-сайтами по всему миру) была дыра. Большинство средних и крупных веб-сайтов успешно подключили его, просто обновив OpenSSL. Все это было сделано и вычищено, пока не произошло что-то еще.
На этот раз то, что известно как эксплойт POODLE, снова поражает протокол Secure Sockets Layer (SSL), хотя и в совершенно другой его версии. В SSL 3.0 есть серьезная ошибка, которая позволяет хакерам легко расшифровывать файлы cookie, отправляемые по протоколу HTTP. Это позволит им видеть личную информацию, принадлежащую вашему сеансу входа в систему, и даже позволит им выдавать себя за вас.
Решение
SSL 3.0 — очень старая криптография, появившаяся еще в те времена, когда MySpace еще набирала обороты как социальная сеть. На самом деле, термин «социальные сети» тогда еще не был очень популярен. Многие из сегодняшних миллениалов либо вступали в подростковый возраст, либо все еще играли в грязи на переменах в пятом классе. Вот сколько ему лет, а серверы до сих пор его используют!
С тех пор были внесены некоторые существенные улучшения, такие как безопасность транспортного уровня (TLS). Этот новый криптографический протокол устраняет многие серьезные проблемы, которые присутствовали в SSL, такие как уязвимости, которые приводили к определенным атакам (например, цепочка блоков шифра, которая была решена в TLS 1.1). Единственная причина, по которой TLS потребовалась новая аббревиатура, заключалась в том, что он больше не «совместим» с SSL. Когда мы говорим, что что-то «совместимо», мы, промышленные всезнайки, подразумеваем, что оно может работать со старыми версиями чего-либо.
Итак, SSL 3.0 мертв, и теперь мы используем нечто, известное как TLS 1.2. Единственная проблема заключается в том, что все еще существует множество браузеров, использующих SSL 3.0 для передачи данных. Серверы по-прежнему поддерживают его как безопасный запасной вариант на случай, если подключающиеся к ним браузеры не поддерживают TLS. Хуже всего то, что даже если ваш браузер заявляет о своей совместимости с TLS, нет никакой гарантии, что сервер не ответит SSL 3.0. Хакеры могут использовать это, чтобы заставить ваш браузер и серверы, отправляющие вам данные, придерживаться старого протокола. По этой и только этой причине эксплойт POODLE по-прежнему имеет большое значение.
У Google есть предложение: почему бы нам просто не прекратить поддержку SSL 3.0 и не предложить всем, кто его использует, обновиться? Для людей, управляющих серверами и разработчиков браузеров, лучший совет от Google — поддерживать TLS_FALLBACK-SCSV. Проще говоря, перестаньте принимать SSL-соединения и принимайте только соединения TLS.
В настоящее время Google сообщает, что работает над изменениями в Chrome, чтобы предотвратить его возврат к SSL. Другие разработчики браузеров могут последовать этому примеру.
Мой лучший совет вам — обновляйте свой браузер и не посещайте сайты, которым вы не доверяете. Помимо этого, вы также можете написать администраторам веб-сайта о своих проблемах и дать ссылку на эту статью.
Есть еще полезные советы?
Если вы считаете, что можете добавить что-то полезное к этому обсуждению, оставьте это в комментарии! Каждый должен знать обо всем, что он может сделать, чтобы обеспечить безопасность всей своей информации при просмотре веб-страниц.
