Когато говорите в Интернет, трябва да се съгласите с език, с който да общувате. Ами ако искате да говорите лично? Е, има криптиране за това. Но точно както всеки друг вид комуникация, трябва да имате и форма на криптиране, което можете да използвате взаимно с когото говорите. Тъй като не всички браузъри използват същите алгоритми, понякога сървърите трябва да запазят съвместимостта си с алгоритми, които могат да бъдат доста опасни. Google наскоро откри експлозия, която в този момент може да засегне милиони браузъри по целия свят, които използват такъв алгоритъм, и ние ще говорим за това!

Какво стана?

Не забравяйте, че Heartbleed грешка, която се съобщава в почти всеки уебсайт технология? Тук е изчерпаното съдържание, ако не искате да прочетете цялата стена на текста: OpenSSL (библиотеката за алгоритми за шифроване, използвана от много уеб сайтове по целия свят) имаше дупка в нея. Повечето средни и големи уеб сайтове го включиха успешно чрез просто надграждане на OpenSSL. Това беше направено и изпечено, докато се случи нещо друго.

Този път, това, което е известно като експлоатирането на POODLE, още веднъж се отнася до Secure Sockets Layer (SSL), макар и съвсем различно. SSL 3.0 има сериозен проблем, който позволява на хакерите лесно да декриптират "бисквитките", изпратени през HTTP протокола. Това ще им позволи да видят личната информация, принадлежаща на сесията ви за вход, и дори да им позволят да се представят за вас.

Решението

SSL 3.0 е много стара криптография, датираща от времето, когато MySpace все още набира следа като уеб сайт за социални медии. Всъщност терминът "социални медии" не беше дори много популярен тогава. Много от днешните милениали влязоха в тийнейджърските си години, или все още играеха в мръсотията в почивка в пети клас. Това е колко години е и сървърите все още го използват!

Оттогава са направени някои значителни подобрения, като например "Security Layer Security" (TLS). Този нов криптографски протокол елиминира много от големите проблеми, които са се появили в SSL, като например уязвимости, довели до определени атаки (като верифициране на шифровия блок, което беше разрешено в TLS 1.1). Единствената причина, поради която TLS се нуждаеше от нов акроним е, че вече не е "оперативно съвместима" в SSL. Това, което ние знаем за индустриалното знание, когато кажем, че нещо е "оперативно съвместимо" е, че може да работи с по-стари версии на нещо.

Така че, SSL 3.0 е мъртъв и сега използваме нещо, известно като TLS 1.2. Единственият проблем е, че все още има много браузъри, използващи SSL 3.0 за предаване на данни. Сървърите все още я поддържат като безопасна резервна, в случай че браузърите, които се свързват с нея, не поддържат TLS. Най-лошата част е, че дори браузърът ви да рекламира съвместимостта си с TLS, няма гаранция, че сървърът няма да отговори със SSL 3.0. Хакерите могат да използват това, за да принудят браузъра ви и сървърите, които ви изпращат данни, да се придържат към стария протокол. Поради тази причина и само поради тази причина експлоатацията на POODLE все още е голяма работа.

Google има предложение: Защо не спираме да поддържаме SSL 3.0 и да подканяме всеки да го използва, за да надстрои? За хората, работещи със сървъри и разработчици на браузъри, най-добрият съвет от Google е да поддържат TLS_FALLBACK-SCSV. Просто казано, спрете да приемате SSL връзки и приемайте само тези на TLS.

В момента Google казва, че работи върху промените в Chrome, за да не се връща обратно в SSL. Други програмисти на браузъра могат да последват примера.

Най-добрият ми съвет е да поддържате браузъра си актуален и да се уверите, че не посещавате сайтове, на които не разполагате. Освен това, можете също да изпратите имейл адреса на администраторите на Вашите загрижености и да ги свържете с тази статия.

Всякакви други полезни съвети?

Ако смятате, че имате нещо полезно да добавите към тази дискусия, моля, продължете и я оставете в коментар! Всеки трябва да е наясно с всичко, което може да направи, за да поддържа сигурността на цялата си информация при сърфиране в мрежата.