الصفحة الرئيسية » howto » ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟

    ما هو ضعف POODLE وكيف يمكنك حماية نفسك؟

    من الصعب أن نلف عقولنا حول كل كوارث الإنترنت هذه عند حدوثها ، وكما ظننا أن الإنترنت كان آمنًا مرة أخرى بعد هدد Heartbleed و Shellshock "إنهاء الحياة كما نعرفها" ، يأتي الخروج POODLE.

    لا تعانقوا لأنهم ليسوا مهددين كما يبدو. والحقيقة هي أنها قضية يجب الاهتمام بها ، لكن هناك خطوات بسيطة يمكنك اتخاذها لحماية نفسك.

    ما هو POODLE?

    لنبدأ في الطابق الأرضي ما هو POODLE؟ أولاً ، إنها تعني "الحشو Oracle On Downgraded Legacy Encryption."إن مشكلة الأمان هي بالضبط ما يقترحه الاسم ، وتخفيض بروتوكول يسمح بالمآثر على شكل قديم من التشفير. وصلت هذه القضية إلى اهتمام العالم هذا الشهر عندما أصدرت جوجل ورقة بعنوان "هذه اللقطات POODLE: استغلال SSL 3.0 الفشل".

    لتوضيح ذلك بعبارات أبسط ، إذا كان المهاجم الذي يستخدم هجوم Man-In-The-Middle يمكنه التحكم في جهاز توجيه في نقطة اتصال عامة ، يمكن أن يجبر المتصفح على الرجوع إلى الإصدار 3.0 من SSL (بروتوكول أقدم) بدلاً من استخدام أكثر شيوعًا من طبقة النقل الآمنة (طبقة النقل الآمنة) ، ثم استغلال ثغرة أمنية في طبقة المقابس الآمنة لاختطاف جلسات المتصفح. نظرًا لوجود هذه المشكلة في البروتوكول ، يتأثر أي شيء يستخدم طبقة المقابس الآمنة.

    طالما أن الخادم والعميل (مستعرض الويب) يدعمان SSL 3.0 ، يمكن للمهاجم فرض خفض في البروتوكول ، لذلك حتى إذا كان المتصفح يحاول استخدام TLS ، فإنه ينتهي به الأمر إلى استخدام SSL بدلاً من ذلك. الجواب الوحيد هو أن كلا الجانبين أو كلا الجانبين لإزالة الدعم ل SSL ، وإزالة إمكانية تخفيض درجة.

    إذا كنت تتصفح بشكل أساسي من المنزل ولا تستخدم النقاط الساخنة العامة ، فإن احتمال حدوث ضرر منخفض جدًا ، ويمكنك فقط اتخاذ الخطوات السهلة المذكورة لاحقًا في المقالة لحماية نفسك. إذا كنت غالبًا ما تستخدم نقطة فعالة عامة ، فقد يكون الوقت قد حان للتفكير في استخدام شبكة ظاهرية خاصة.

    كيف يمكننا حل المشكلة?

    نظرًا لعدم وجود طريقة لحل المشكلات مع طبقة المقابس الآمنة ، يتمثل الحل الوحيد لصانعي المتصفحات وخوادم الويب في ترقية كل شيء لإزالة دعم SSL ويتطلب تشفير TLS فقط.

    أعلن كل من Google و Firefox أنهما سيجريان إزالة الدعم في المستقبل ، وفي حين أننا لم نسمع (حتى الآن) نفس الشيء من Microsoft ، فمن السهل للغاية كمستخدم نهائي تعطيل SSL 3.0 في IE. تقوم معظم شركات الويب الكبيرة بإزالة دعم SSL بعد ظهور هذه المشكلة ، ولكن الأمر سيستغرق بعض الوقت لكي يفعل الجميع ذلك.

    بصفتك مستهلكًا ، يمكنك إزالة دعم SSL من متصفحك باستخدام إحدى الطرق الموضحة أدناه - أو إذا كنت تستخدم Firefox أو Google Chrome ولا تستخدم النقاط الفعالة طوال الوقت ، يمكنك الانتظار حتى يتم تحديث المتصفح. أو يمكنك التأكد من إصلاح المشكلة بنفسك.

    تعطيل SSL 3.0 في موزيلا فايرفوكس

    إذا كنت من مستخدمي Mozilla Firefox ، فسيتم طرح مخاوف SSL 3.0 على السرير في 25 نوفمبر 2014 عندما يتم إصدار Fireox 34. المشكلة الوحيدة في هذا هي أنه لم يتم بعد نوفمبر ، وتحتاج إلى اتخاذ إجراءات لحماية نفسك الآن. ابدأ بفتح متصفح Firefox وانتقل إلى صفحة تنزيل التحكم في إصدار SSL في Firefox.

    عندما تم تثبيته بنجاح ، يمكنك إدخال "about: addons" في شريط التنقل وتحديد "SSL Version Control". يمكنك النقر على "خيارات" لمشاهدة إعدادات الإضافة. تأكد من تشغيل "التحديثات التلقائية" ومن تعيين "الحد الأدنى لإصدار SSL" على "TLS 1.0"

    بعد إصدار Firefox 34 ، لا يمكنك تعطيل الإضافة أو إلغاء تثبيتها.

    تعطيل SSL 3.0 في جوجل كروم

    إذا كنت من مستخدمي Google Chrome ، فيمكنك أن تطمئن إلى أن SSL 3.0 سيتم تعطيله في الأشهر القادمة ، على الرغم من أنه لم يتم تحديد تاريخ حتى الآن. إذا كنت ترغب في حماية نفسك الآن ، يمكن القيام بذلك في بضع خطوات بسيطة. ما عليك سوى الانتقال إلى رمز Google Chrome لسطح المكتب والنقر بزر الماوس الأيمن عليه ثم تحديد "خصائص" في الجزء السفلي من القائمة المنبثقة.

    في نافذة "خصائص" سترى مربع إدخال النص الذي يقول "الهدف". ببساطة انقر في هذا المربع واضغط على زر "إنهاء" على لوحة المفاتيح. بعد ذلك ، اضغط على "شريط المسافة" وانسخ هذا النص والصقه في النهاية.

    --SSL-نسخة دقيقة = TLS1

    اضغط على "تطبيق" ثم انقر فوق "متابعة" في النافذة المنبثقة ثم اضغط على "موافق".

    الآن سوف يرفض متصفحك تلقائيًا شهادات SSL 3.0 ولا يقبل سوى TLS 1.0 وأعلى. تجدر الإشارة إلى أنه في حالة تشغيل Chrome من خلال أي اختصار آخر على جهاز الكمبيوتر ، فلن يستخدم هذا العلم.

    تعطيل SSL 3.0 في Internet Explorer

    لم تعلن شركة Microsoft بعد عن الموعد الذي تخطط فيه لمعالجة مشكلة SSL 3.0 لذا فمن الأفضل تعطيلها بنفسك عن طريق فتح قائمة "ابدأ" وكتابة "خيارات الإنترنت".

    انتقل إلى علامة التبويب "خيارات متقدمة" وانتقل لأسفل إلى قسم "الأمان" حتى تشاهد خيارات طبقة المقابس الآمنة وطبقة النقل الآمنة ، ثم ألغِ تحديد الخيار لاستخدام طبقة المقابس الآمنة 3.0 ، وتمكين طبقة النقل الآمنة بدلاً من ذلك.

    بهذه الطريقة ، يمكنك التأكد من أن جميع متصفحات الإنترنت آمنة من أي هجمات POODLE محتملة.

    صورة الائتمان: كارين على فليكر