の脆弱性を利用して、SSL3.0、攻撃者は悪意のあるコードをコンピュータに挿入し、コンピュータを侵害する可能性があります。また、同じ SSL 3.0 を使用して Web ホスティング サーバーを侵害する可能性もあります。ほとんどの Web サーバーはログインやあらゆる種類のフォームへの入力などの通信に依然として SSL 3.0 を使用しているため、ほとんどのブラウザーは依然として SSL3 をサポートしています。
プードルのセキュリティ攻撃
Secure Sockets Layer または SSLは、インターネット上の通信セキュリティを提供するために設計された暗号化プロトコルです。現在は次のものに取って代わられています。トランスポート層セキュリティまたは TLS。
のプードルの攻撃Web 犯罪者が SSL3 接続経由で送信されるデータを傍受できるようになります。ウェブ犯罪者はデータを傍受できるだけでなく、自分のデータを接続に挿入して、ウェブサイトにデータがブラウザからのものであると信じ込ませることもできます。同様に、ブラウザに悪意のあるデータが Web サーバーから送信されていると信じ込ませます。
プードルはの略ですダウングレードされたレガシー暗号化での Oracle のパディング。これはプロトコルの欠陥であり、実装とは関係ありません。これは、ブラウザやホストで SSL3 がどのように実装されているかに関係なく、攻撃者が悪用できる欠陥が存在することを意味します。ハッキングから身を守る唯一の方法は、ブラウザと Web ホスティング サーバーで SSL3.0 を無効にすることです。
チェックしたいブラウザを使用してこの Web サイトにアクセスすると、ブラウザの脆弱性をテストできます。sslabs.com。
SSL 3.0を無効にする
Poodle のセキュリティ攻撃から身を守るために、Web ブラウザで SSL 3.0 をオフにするかロックダウンすることをお勧めします。
インターネットエクスプローラー: コントロール パネルから [インターネット オプション] ダイアログを開き、[詳細設定] タブに移動します。 「SSL 3.0を使用する」にチェックを入れ、チェックを外します。
Microsoft は、ユーザーに次のことを可能にする Fix-It をリリースしました。Internet Explorer で SSL 3.0 を無効にする。 Microsoft はまた、今後数か月以内に Internet Explorer および Microsoft オンライン サービス全体のデフォルト構成で SSL 3.0 が無効になることを発表し、クライアントとサービスを TLS 1.0、TLS 1.1、TLS などのより安全なセキュリティ プロトコルに移行することを顧客に推奨しています。 1.2.
Fアイリフォックス: SSL3 を無効にするオプションにアクセスするには、アドレス バーに「about:config」と入力します。検索するsecurity.tls.version.min結果内で検索するか、検索バーを使用して検索します。行をダブルクリックし、値を 0 から に変更します。1。これにより、Firefox は TLS1.0 以降のみを使用するようになり、SSL3.0 が無効になります。
Firefox はすでに、Java 6 が非常に脆弱であることが判明したときに Java 6 を無効にしたのと同じように、次のリリースでは SSL 3.0 を無効にする予定だと述べています。
Google Chrome:設定には表示されません。 Chrome ショートカットにパラメータを追加して、SSL3 を無効にして TLS のみを強制する必要があります。ショートカットを右クリックし、「プロパティ」を選択します。 「ターゲット」というラベルの付いたフィールドに、次の内容を追加します。–ssl-version-min=tls1。したがって、パスは次のように表示されるはずです。
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ssl-version-min=tls1
Google でさえ、今後数カ月以内にすべてのクライアント製品から SSL 3.0 のサポートを完全に削除したいと述べています。
サイト所有者またはホスト: Web サイトの所有者または Web ホストは、できるだけ早くサーバーで SSL 3 を無効にすることを検討する必要があります。
POODLE 攻撃と SSL 3.0 の脆弱性の詳細については、次の Web サイトをご覧ください。oracle.com。
