क्या अच्छा भेद्यता है और आप अपने आप को कैसे बचा सकते हैं?
इन सभी इंटरनेट आपदाओं के दौरान हमारे दिमाग को लपेटना कठिन है, क्योंकि वे सोचते हैं और जैसा कि हमने सोचा था कि हार्टबल और शेलशॉक के बाद इंटरनेट फिर से सुरक्षित हो गया था, "जब हम जानते हैं कि जीवन समाप्त हो जाता है, तो यह खतरा है".
बहुत ज्यादा काम न करें क्योंकि यह उतना खतरनाक नहीं है जितना लगता है। सच्चाई यह है कि यह एक ऐसा मुद्दा है जिसके साथ संबंध होना चाहिए, लेकिन ऐसे सरल कदम हैं जो आप खुद को सुरक्षित रख सकते हैं.
POODLE क्या है?
चलिए शुरू करते हैं ग्राउंड फ्लोर पर। POODLE क्या है? सबसे पहले, यह "के लिए खड़ा हैडाउनग्रेड विरासत विरासत पर Oracle पेडिंग."सुरक्षा मुद्दा वही है जो नाम से पता चलता है, एक प्रोटोकॉल डाउनग्रेड जो एन्क्रिप्शन के एक पुराने रूप पर शोषण की अनुमति देता है। यह मुद्दा इस महीने दुनिया के ध्यान में आया जब Google ने "दिस पाटल बाइट्स: एक्सप्लॉइटिंग द एसएसटी 3.0 फॉलिक" नामक एक पेपर जारी किया।.
इसे सरल शब्दों में समझाने के लिए, यदि कोई हमलावर मैन-इन-द-मिडिल हमले का उपयोग करता है, तो सार्वजनिक हॉटस्पॉट में राउटर का नियंत्रण ले सकता है, वे आपके ब्राउज़र को SSL 3.0 (एक पुराने प्रोटोकॉल) का उपयोग करने के बजाय डाउनग्रेड करने के लिए बाध्य कर सकते हैं। बहुत अधिक आधुनिक टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी), और फिर अपने ब्राउज़र सत्रों को हाईजैक करने के लिए एसएसएल में एक सुरक्षा छेद का उपयोग करें। चूंकि यह समस्या प्रोटोकॉल में है, SSL का उपयोग करने वाली कोई भी चीज प्रभावित होती है.
जब तक सर्वर और क्लाइंट (वेब ब्राउजर) दोनों एसएसएल 3.0 का समर्थन करते हैं, तब तक हमलावर प्रोटोकॉल में गिरावट को मजबूर कर सकता है, इसलिए यदि आपका ब्राउज़र टीएलएस का उपयोग करने की कोशिश करता है, तो भी इसके बजाय एसएसएल का उपयोग करने के लिए मजबूर होना समाप्त होता है। एकमात्र उत्तर एसएसएल के लिए समर्थन को हटाने के लिए दोनों ओर या दोनों के लिए है, डाउनग्रेड होने की संभावना को हटा दें.
यदि आप मुख्य रूप से घर से ब्राउज़ करते हैं और सार्वजनिक हॉटस्पॉट का उपयोग नहीं करते हैं, तो नुकसान की संभावना बहुत कम है, और आप अपने आप को बचाने के लिए लेख में बाद में उल्लिखित आसान कदम उठा सकते हैं। यदि आप अक्सर सार्वजनिक हॉटस्पॉट का उपयोग करते हैं, तो वीपीएन का उपयोग करने के बारे में सोचने का समय हो सकता है.
हम समस्या को कैसे हल कर सकते हैं?
चूंकि एसएसएल के साथ समस्याओं को हल करने का कोई तरीका नहीं है, इसलिए ब्राउज़र और वेब सर्वर के लिए एकमात्र समाधान एसएसएल के लिए समर्थन हटाने के लिए सब कुछ अपग्रेड करना और केवल टीएलएस एन्क्रिप्शन की आवश्यकता है।.
Google और फ़ायरफ़ॉक्स ने पहले ही घोषणा कर दी है कि वे भविष्य में समर्थन को हटा देंगे, और जब हमने Microsoft से ऐसा नहीं सुना (अभी तक) नहीं है, तो IE में SSL 3.0 को अक्षम करना एंड-यूज़र के रूप में बेहद आसान है। इस समस्या के सामने आने के बाद अधिकांश बड़ी वेब कंपनियां SSL के लिए समर्थन हटा रही हैं, लेकिन ऐसा करने में सभी को थोड़ा समय लगेगा.
एक उपभोक्ता के रूप में, आप नीचे दिए गए तरीकों में से एक का उपयोग करके अपने ब्राउज़र से एसएसएल के लिए समर्थन हटा सकते हैं - या यदि आप फ़ायरफ़ॉक्स या Google क्रोम का उपयोग कर रहे हैं और हर समय हॉटस्पॉट का उपयोग नहीं कर रहे हैं, तो आप ब्राउज़र को अपडेट करने के लिए उनका इंतजार कर सकते हैं। या आप यह सुनिश्चित कर सकते हैं कि आपने समस्या स्वयं तय कर ली है.
मोज़िला फ़ायरफ़ॉक्स में एसएसएल 3.0 को निष्क्रिय करना
यदि आप एक मोज़िला फ़ायरफ़ॉक्स उपयोगकर्ता हैं, तो आपके एसएसएल 3.0 की चिंताओं को 25 नवंबर 2014 को फ़ाइनलॉक्स 34 जारी होने पर बिस्तर पर डाल दिया जाएगा। इसके साथ एक समस्या यह है कि यह अभी तक नवंबर नहीं है और आपको अब खुद को बचाने के लिए कार्रवाई करने की आवश्यकता है। अपने फ़ायरफ़ॉक्स ब्राउज़र को खोलने और फ़ायरफ़ॉक्स में एसएसएल संस्करण नियंत्रण डाउनलोड पृष्ठ पर नेविगेट करके शुरू करें.
जब यह सफलतापूर्वक स्थापित हो गया है, तो आप नेविगेशन बार में "about: addons" दर्ज कर सकते हैं और "SSL संस्करण नियंत्रण" एक्सटेंशन का चयन कर सकते हैं। आप एक्सटेंशन के लिए सेटिंग्स देखने के लिए "विकल्प" पर क्लिक कर सकते हैं। सुनिश्चित करें कि "स्वचालित अपडेट" चालू हैं और "न्यूनतम SSL संस्करण" "TLS 1.0" पर सेट है
फ़ायरफ़ॉक्स 34 जारी होने के बाद, आप एक्सटेंशन को अक्षम करने या इसे अनइंस्टॉल करने के लिए स्वतंत्र महसूस कर सकते हैं.
Google Chrome में SSL 3.0 को अक्षम करना
यदि आप Google Chrome उपयोगकर्ता हैं, तो आप आश्वस्त हो सकते हैं कि आगामी महीनों में SSL 3.0 अक्षम हो जाएगा, हालांकि उन्होंने अभी तक कोई तिथि निर्धारित नहीं की है। यदि आप अभी अपनी सुरक्षा करना चाहते हैं, तो यह कुछ सरल चरणों में किया जा सकता है। बस अपने Google Chrome डेस्कटॉप आइकन पर जाएं और उस पर राइट क्लिक करें और पॉपअप मेनू के नीचे "गुण" चुनें.
"गुण" विंडो में आपको एक टेक्स्ट इनपुट बॉक्स दिखाई देगा, जो कहता है "लक्ष्य।" बस इस बॉक्स में क्लिक करें और अपने कीबोर्ड पर "एंड" बटन दबाएं। अगला, "स्पेसबार" दबाएं और इस टेक्स्ट को अंत में कॉपी और पेस्ट करें.
--एसएसएल-संस्करण मिनट = tls1
"लागू करें" दबाएं फिर पॉपअप विंडो में "जारी रखें" पर क्लिक करें और फिर "ओके" दबाएं।
अब आपका ब्राउज़र स्वचालित रूप से SSL 3.0 प्रमाणपत्रों को अस्वीकार कर देगा और केवल TLS 1.0 और उच्चतर स्वीकार करेगा। यह ध्यान देने योग्य है कि यदि आप अपने कंप्यूटर पर किसी अन्य शॉर्टकट के माध्यम से Chrome लॉन्च करते हैं, तो यह इस ध्वज का उपयोग नहीं करेगा.
इंटरनेट एक्सप्लोरर में एसएसएल 3.0 को निष्क्रिय करना
Microsoft ने अभी तक घोषणा नहीं की है जब वे एसएसएल 3.0 मुद्दे को संबोधित करने की योजना बना रहे हैं, इसलिए अपने "स्टार्ट" मेनू को खोलकर और "इंटरनेट विकल्प" टाइप करके इसे स्वयं अक्षम करना सबसे अच्छा है।
"उन्नत" टैब पर जाएं और SSL और TLS विकल्प देखने तक "सुरक्षा" अनुभाग तक स्क्रॉल करें, और तब SSL 3.0 का उपयोग करने के विकल्प को अन-चेक करें, और इसके बजाय TLS सक्षम करें.
इस तरह आप सुनिश्चित कर सकते हैं कि आपके इंटरनेट ब्राउज़र किसी भी संभावित POODLE हमलों से सुरक्षित हैं.
छवि क्रेडिट: फ़्लिकर पर करेन