Όταν μιλάτε στο Διαδίκτυο, πρέπει να συμφωνείτε σε μια γλώσσα με την οποία θα επικοινωνείτε. Τι γίνεται αν θέλετε να μιλήσετε ιδιωτικά; Λοιπόν, υπάρχει κρυπτογράφηση γι 'αυτό. Αλλά ακριβώς όπως κάθε άλλου είδους επικοινωνία, πρέπει επίσης να έχετε μια μορφή κρυπτογράφησης που μπορείτε να χρησιμοποιήσετε αμοιβαία με όποιον μιλάτε. Δεδομένου ότι δεν χρησιμοποιούν όλα τα προγράμματα περιήγησης οι ίδιοι αλγόριθμοι, οι διακομιστές πρέπει μερικές φορές να διατηρήσουν συμβατότητα με αλγόριθμους που μπορεί να είναι αρκετά επικίνδυνοι. Η Google πρόσφατα ανακάλυψε ότι εκμεταλλεύεται ότι αυτή τη στιγμή μπορεί να επηρεάσει εκατομμύρια browsers παγκοσμίως που χρησιμοποιούν έναν τέτοιο αλγόριθμο και θα μιλήσουμε γι 'αυτό!

Τι συνέβη?

Θυμηθείτε ότι το Heartbleed bug που αναφέρθηκε σε σχεδόν κάθε ιστοσελίδα τεχνολογίας; Εδώ είναι το run-down αν δεν θέλετε να διαβάσετε ολόκληρο τοίχο του κειμένου: Το OpenSSL (η βιβλιοθήκη αλγορίθμου κρυπτογράφησης που χρησιμοποιείται από πολλές ιστοσελίδες σε όλο τον κόσμο) είχε μια τρύπα σε αυτό. Οι περισσότεροι μεσαίοι και μεγάλοι ιστότοποι συνδέθηκαν επιτυχώς με την απλή αναβάθμιση του OpenSSL. Όλα αυτά έγιναν και ξεσκονίσθηκαν μέχρι να συμβεί κάτι άλλο.

Αυτή τη φορά, αυτό που είναι γνωστό ως το exploit POODLE είναι για άλλη μια φορά μαστίζοντας το Secure Sockets Layer (SSL), αν και μια διαφορετική εκδοχή του εξ ολοκλήρου. Το SSL 3.0 έχει ένα σοβαρό σφάλμα που επιτρέπει στους hackers να αποκρυπτογραφούν εύκολα τα cookies που στέλνονται μέσω του πρωτοκόλλου HTTP. Αυτό θα τους επιτρέψει να δουν τις προσωπικές πληροφορίες που ανήκουν στη σύνοδο σύνδεσης σας και ακόμη και να τους επιτρέψουν να σας μιμηθούν.

Η λύση

Το SSL 3.0 είναι πολύ παλιά κρυπτογραφία, που χρονολογείται από την εποχή που το MySpace εξακολουθούσε να κερδίζει έλξη ως ιστότοπος κοινωνικών μέσων. Στην πραγματικότητα, ο όρος "κοινωνικά μέσα μαζικής ενημέρωσης" δεν ήταν ακόμη πολύ δημοφιλής τότε. Πολλά από τα σημερινά χιλιετηρίδα είτε εισήλθαν στα εφηβικά τους χρόνια είτε εξακολουθούσαν να παίζουν στη βρωμιά στην εσοχή της πέμπτης τάξης. Αυτό είναι παλιό και οι διακομιστές εξακολουθούν να το χρησιμοποιούν!

Έκτοτε πραγματοποιήθηκαν μερικές σημαντικές βελτιώσεις, όπως η ασφάλεια επιπέδου μεταφοράς (TLS). Αυτό το νέο κρυπτογραφικό πρωτόκολλο εξαλείφει πολλά από τα μεγάλα προβλήματα που υπήρχαν στο SSL, όπως τα τρωτά σημεία που οδήγησαν σε ορισμένες επιθέσεις (όπως η αλυσιδωτή αλυσίδα κρυπτογράφησης που επιλύθηκε στο TLS 1.1). Ο μόνος λόγος για τον οποίο το TLS χρειάστηκε ένα νέο ακρωνύμιο ήταν ότι δεν ήταν πλέον "διαλειτουργικό" στο SSL. Αυτό που γνωρίζουμε βιομηχανικά γνωρίζουμε όταν λέμε ότι κάτι είναι "διαλειτουργικό" είναι ότι είναι σε θέση να δουλέψει με παλαιότερες εκδόσεις κάτι.

Έτσι, το SSL 3.0 είναι νεκρό και τώρα χρησιμοποιούμε κάτι γνωστό ως TLS 1.2. Το μόνο πρόβλημα είναι ότι εξακολουθούν να υπάρχουν πολλοί φυλλομετρητές που χρησιμοποιούν SSL 3.0 για τη μετάδοση δεδομένων. Οι διακομιστές εξακολουθούν να το υποστηρίζουν ως ασφαλή εναλλακτική λύση σε περίπτωση που τα προγράμματα περιήγησης που συνδέονται με αυτά δεν υποστηρίζουν TLS. Το χειρότερο είναι ότι ακόμα και αν το πρόγραμμα περιήγησής σας διαφημίζει τη συμβατότητά του με το TLS, δεν υπάρχει καμία εγγύηση ότι ο διακομιστής δεν θα απαντήσει με SSL 3.0. Οι χάκερ μπορούν να το χρησιμοποιήσουν για να αναγκάσουν το πρόγραμμα περιήγησής σας και τους διακομιστές που σας στέλνουν δεδομένα να παραμείνουν στο παλιό πρωτόκολλο. Για τον λόγο αυτό και μόνο για αυτό το λόγο, το εκμεταλλευόμενο το POODLE εξακολουθεί να είναι μεγάλο πρόβλημα.

Η Google έχει μια πρόταση: Γιατί να μην σταματήσουμε να υποστηρίζουμε το SSL 3.0 και να προτρέπουμε όσους το χρησιμοποιούν για αναβάθμιση; Για τα άτομα που εκτελούν διακομιστές και προγραμματιστές περιηγητών, οι καλύτερες συμβουλές από την Google είναι να υποστηρίξουν το TLS_FALLBACK-SCSV. Με απλά λόγια, σταματήστε να δέχεστε συνδέσεις SSL και αποδεχτείτε μόνο αυτούς που βρίσκονται στο TLS.

Αυτή τη στιγμή, η Google λέει ότι εργάζεται για αλλαγές στο Chrome για να αποτρέψει την επιστροφή της στο SSL. Άλλοι προγραμματιστές περιηγητών μπορούν να ακολουθήσουν το παράδειγμά τους

Η καλύτερη συμβουλή μου προς εσάς είναι να ενημερώσετε το πρόγραμμα περιήγησης και να βεβαιωθείτε ότι δεν πηγαίνετε σε ιστότοπους που δεν εμπιστεύεστε. Εκτός από αυτό, μπορείτε επίσης να στείλετε ηλεκτρονικό ταχυδρομείο στους διαχειριστές ιστότοπων με τις ανησυχίες σας και να τους συνδέσετε με αυτό το άρθρο.

Οποιαδήποτε άλλη χρήσιμη συμβουλή;

Αν νομίζετε ότι έχετε κάτι χρήσιμο να προσθέσετε σε αυτή τη συζήτηση, παρακαλώ προχωρήστε και αφήστε το σε ένα σχόλιο! Όλοι πρέπει να γνωρίζουν τι μπορούν να κάνουν για να διατηρήσουν την ασφάλεια όλων των πληροφοριών τους κατά την περιήγηση στο Web.