POODLE 취약점이란 무엇이며 자신을 어떻게 보호 할 수 있습니까?
이 모든 인터넷 재앙이 발생할 때마다 우리의 마음을 감싸는 것은 어렵습니다. Heartbleed와 Shellshock이 "우리가 알고있는대로 인생을 끝내라"고 위협 한 후 인터넷이 다시 안전하다고 생각한 것처럼 POODLE.
그것이 소리가 나는 것처럼 위협적이지 않기 때문에 너무 일하지 마십시오. 진실은 걱정할 문제이지만, 자신을 보호하기 위해 취할 수있는 간단한 단계가 있습니다..
POODLE이란 무엇입니까??
1 층에서 시작합시다. POODLE은 무엇입니까? 우선, 그것은 "다운 그레이드 레거시 암호화에서 오라클 패딩."보안 문제는 이름에서 알 수 있듯이, 오래된 암호화 형태로 악용 할 수있는 프로토콜 다운 그레이드입니다. 이 문제는 이번 달 구글이 "이 POODLE Bites : SSL 3.0 폴백 사용"이라는 논문을 발표했을 때 주목을 끌었다..
이를 간단히 설명하면 Man-In-The-Middle 공격을 사용하는 공격자가 공용 핫 스폿의 라우터를 제어 할 수있는 경우 브라우저를 강제로 SSL 3.0 (이전 프로토콜)으로 다운 그레이드 할 수 있습니다 훨씬 더 현대적인 TLS (Transport Layer Security)를 사용하고 SSL의 보안 구멍을 악용하여 브라우저 세션을 가로 챌 수 있습니다. 이 문제는 프로토콜에 있으므로 SSL을 사용하는 모든 것이 영향을받습니다..
서버와 클라이언트 (웹 브라우저) 모두 SSL 3.0을 지원하는 한 공격자는 프로토콜을 다운 그레이드 할 수 있으므로 브라우저가 TLS를 사용하려고해도 SSL을 대신 사용해야합니다. SSL에 대한 지원을 제거하고 다운 그레이드 할 가능성을 없애려면 양쪽 또는 양쪽 모두에 대한 유일한 대답입니다..
주로 집에서 찾아 보거나 공용 핫스팟을 사용하지 않는 경우 피해 가능성은 매우 낮습니다. 기사의 뒷부분에 나오는 간단한 단계를 수행하면 자신을 보호 할 수 있습니다. 공용 핫 스폿을 자주 사용하는 경우 VPN 사용에 대해 생각할 시간입니다..
어떻게 우리가 문제를 해결할 수 있는가??
SSL로 인한 문제를 해결할 방법이 없으므로 유일한 해결책은 브라우저 제조업체와 웹 서버가 SSL에 대한 지원을 제거하고 TLS 암호화 만 필요로하는 모든 것을 업그레이드하는 것입니다.
구글과 파이어 폭스는 이미 지원을 중단하겠다고 발표했으며, 마이크로 소프트로부터이 기술에 대해들은 적은 없지만 IE에서 SSL 3.0을 사용하지 않는 것은 최종 사용자로서 매우 쉽다. 대부분의 대형 웹 회사는이 문제가 발생한 후에 SSL에 대한 지원을 제거하지만 모두가 그렇게하도록 시간이 걸릴 것입니다..
소비자는 아래에 설명 된 방법 중 하나를 사용하여 브라우저에서 SSL에 대한 지원을 제거 할 수 있습니다. 또는 Firefox 또는 Chrome을 사용하고 있고 핫스팟을 항상 사용하지 않는 경우 브라우저를 업데이트 할 때까지 기다릴 수 있습니다. 또는 직접 문제를 해결했는지 확인할 수 있습니다..
Mozilla Firefox에서 SSL 3.0 비활성화
Mozilla Firefox 사용자 인 경우 Fireox 34가 출시되는 2014 년 11 월 25 일에 SSL 3.0에 대한 염려가 잠잠해질 것입니다. 이 문제의 한 가지 문제점은 아직 11 월이 아니며 현재 자신을 보호하기위한 조치를 취해야한다는 것입니다. 먼저 Firefox 브라우저를 열고 Firefox의 SSL 버전 제어 다운로드 페이지로 이동하십시오..
성공적으로 설치되면 탐색 모음에 "about : addons"를 입력하고 "SSL Version Control"확장을 선택할 수 있습니다. '옵션'을 클릭하면 광고 확장에 대한 설정을 볼 수 있습니다. "자동 업데이트"가 켜져 있고 "최소 SSL 버전"이 "TLS 1.0"으로 설정되어 있는지 확인하십시오.
Firefox 34가 출시되면 확장 기능을 해제하거나 제거 할 수 있습니다..
Chrome에서 SSL 3.0 사용 중지
Google 크롬 사용자는 아직 날짜를 설정하지 않았지만 앞으로 몇 달 안에 SSL 3.0이 사용 중지 될 것이라는 확신을 가질 수 있습니다. 지금 자신을 보호하려면 몇 가지 간단한 단계를 거쳐야합니다. Google 크롬 바탕 화면 아이콘으로 이동하여 마우스 오른쪽 버튼으로 클릭 한 다음 팝업 메뉴의 하단에있는 '속성'을 선택하십시오..
"속성"창에서 "대상"이라는 텍스트 입력 상자가 표시됩니다.이 상자를 클릭하고 키보드의 "끝내기"단추를 누르십시오. 다음으로, "스페이스 바"를 누르고이 텍스트를 복사하여 끝에 붙여 넣으십시오..
--ssl-version-min = tls1
"적용"을 누른 다음 팝업 창에서 "계속"을 클릭 한 다음 "확인"을 누릅니다.
이제 브라우저가 자동으로 SSL 3.0 인증서를 거부하고 TLS 1.0 이상 만 수락합니다. 컴퓨터에서 다른 바로 가기를 통해 Chrome을 실행하면이 플래그가 사용되지 않습니다..
Internet Explorer에서 SSL 3.0 사용 안 함
Microsoft는 SSL 3.0 문제를 해결할 예정을 아직 발표하지 않았으므로 "시작"메뉴를 열고 "인터넷 옵션"을 입력하여 직접 사용하지 않도록 설정하는 것이 가장 좋습니다.
"고급"탭으로 이동하여 SSL 및 TLS 옵션이 나타날 때까지 "보안"섹션까지 스크롤 한 다음 SSL 3.0 사용 옵션의 선택을 취소하고 대신 TLS를 활성화하십시오.
이렇게하면 잠재적 인 POODLE 공격으로부터 인터넷 브라우저가 모두 안전하다는 것을 확신 할 수 있습니다.
이미지 크레디트 : Flickr의 Karen