एसएसएल 3.0 मर चुका है! अपने ब्राउज़र को पूडल अटैक के खिलाफ सुरक्षित करें

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2023-12-17 11:00

में एक भेद्यता का उपयोग करना एसएसएल 3.0, हमलावर आपके कंप्यूटर में दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं और समझौता कर सकते हैं। वे एक ही एसएसएल 3.0 का उपयोग कर वेब होस्टिंग सर्वर से समझौता भी कर सकते हैं। अधिकतर ब्राउज़र अभी भी SSL3 का समर्थन करते हैं, क्योंकि अधिकांश वेब सर्वर अभी भी लॉगिन के लिए एसएसएल 3.0 का उपयोग करते हैं जैसे लॉगिन, किसी भी प्रकार के फॉर्म भरना आदि।

पूडल सुरक्षा हमला

सिक्योर सॉकेट लेयर या एसएसएल एक क्रिप्टोग्राफिक प्रोटोकॉल है जो इंटरनेट पर संचार सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है। अब यह आगे बढ़ गया है परिवहन परत सुरक्षा या टीएलएस.

पूडल हमला एक वेब आपराधिक को SSL3 कनेक्शन पर भेजे जा रहे डेटा को अवरुद्ध करने की अनुमति देता है। न केवल वह डेटा को रोक सकता है, वेब आपराधिक कनेक्शन में अपना डेटा इंजेक्ट कर सकता है, जिससे वेबसाइट का मानना है कि यह ब्राउज़र से आया है। इसी तरह, यह ब्राउज़र को विश्वास करता है कि दुर्भावनापूर्ण डेटा वेब सर्वर से आता है।

पाउडर के लिए छोटा है डाउनग्रेडेड लीगेसी एन्क्रिप्शन पर पैडिंग ओरेकल । यह एक प्रोटोकॉल दोष है और कार्यान्वयन से संबंधित नहीं है। इसका मतलब है कि ब्राउज़र या मेजबान द्वारा एसएसएल 3 को कैसे लागू किया जाता है, भले ही हमलावरों का शोषण करने के लिए दोष होगा। हैक होने से खुद को बचाने का एकमात्र तरीका है, अपने ब्राउज़र में और अपने वेब होस्टिंग सर्वर पर SSL3.0 को अक्षम करना है।

आप ब्राउजर का उपयोग करके इस वेबसाइट पर जाकर अपने ब्राउज़र की भेद्यता का परीक्षण कर सकते हैं: ssllabs.com।

एसएसएल 3.0 अक्षम करें

पूडल सुरक्षा हमलों के खिलाफ खुद को बचाने के लिए, आप अपने वेब ब्राउज़र में एसएसएल 3.0 को बंद या बंद करना चाहते हैं।

इंटरनेट एक्स्प्लोरर: नियंत्रण कक्ष से इंटरनेट विकल्प संवाद खोलें और उन्नत टैब पर जाएं। एसएसएल 3.0 का प्रयोग करने के लिए जांचें और इसे अनचेक करें।

माइक्रोसॉफ्ट ने एक फिक्स इट जारी किया है जो उपयोगकर्ताओं को इंटरनेट एक्सप्लोरर में एसएसएल 3.0 अक्षम करने देता है। माइक्रोसॉफ्ट ने यह भी घोषणा की है कि आने वाले महीनों में इंटरनेट एक्सप्लोरर और माइक्रोसॉफ्ट ऑनलाइन सेवाओं की डिफ़ॉल्ट कॉन्फ़िगरेशन में एसएसएल 3.0 अक्षम कर दिया जाएगा, और यह सिफारिश करता है कि ग्राहक ग्राहकों और सेवाओं को अधिक सुरक्षित सुरक्षा प्रोटोकॉल जैसे टीएलएस 1.0, टीएलएस 1.1 या टीएलएस में माइग्रेट करें 1.2।

एफ irefox: SSL3 को अक्षम करने के विकल्प को पाने के लिए, पता बार में "about: config" टाइप करें। निम्न को खोजें security.tls.version.min परिणामों में या खोज बार का उपयोग करने के लिए इसका उपयोग करें। पंक्ति पर डबल-क्लिक करें और मान को 0 से बदलें 1। इससे फ़ायरफ़ॉक्स को केवल TLS1.0 और इससे ऊपर का उपयोग करने के लिए मजबूर किया जाएगा जिससे SSL3.0 को अक्षम किया जा सके।

फ़ायरफ़ॉक्स ने पहले से ही कहा है कि यह अपनी अगली रिलीज में एसएसएल 3.0 को अक्षम कर देगा, जैसे कि उन्होंने जावा 6 को अक्षम कर दिया था जब बाद वाला बेहद कमजोर पाया गया था।

गूगल क्रोम: यह सेटिंग्स में दिखाई नहीं दे रहा है। किसी को क्रोम शॉर्टकट में पैरामीटर जोड़ना होगा ताकि यह एसएसएल 3 को अक्षम कर सके और केवल टीएलएस को मजबूर कर सके। अपने शॉर्टकट पर राइट-क्लिक करें और गुण चुनें। लक्षित लेबल वाले फ़ील्ड में, संलग्न करें -ssl-संस्करण मिनट = tls1। तो आपका पथ इस प्रकार दिखना चाहिए:


'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1

यहां तक कि Google ने कहा है कि, आने वाले महीनों में, यह अपने सभी क्लाइंट उत्पाद से एसएसएल 3.0 के लिए समर्थन को हटाने की उम्मीद करता है

साइट मालिकों या मेजबान: एक वेब साइट मालिक या वेब होस्ट के रूप में, आपको जितनी जल्दी हो सके अपने सर्वर पर एसएसएल 3 को अक्षम करने पर विचार करना चाहिए

पुडल हमले और एसएसएल 3.0 भेद्यता के पूर्ण विवरण के लिए, कृपया oracle.com पर जाएं।

संबंधित पोस्ट: