POODLE öryggisgallinn og hvernig þú getur verndað þig gegn honum

Að morgni 15. Október var slökkt á stuðningi við SSLv3 á öllum síðum Snorrason Holdings vegna mögulegs öryggisgalla sem nefndur hefur verið 'POODLE'.

'POODLE' hefur áhrif á SSLv3 - 3. útgáfu af Secure Sockets Layer samskiptareglunum sem notaðar eru til að dulkóða samskipti milli vafra og vefsíðu (eða milli póstforrits notanda og póstþjóns). 'POODLE' gallinn er ekki jafn alvarlegur og 'Heartbleed' eða 'Shellshock' gallarnir, en 'POODLE' gæti gert tölvuþrjótum mögulegt að afrugla "kökuna" (cookie), sem auðkennir þig við þjónustur eins og Twitter eða Google, og yfirtaka reikningana þína án þess að þurfa lykilorðið.

Ef við gefum okkur að 'Heartbleed' og 'Shellshock' (sem bæði voru útilokuð úr kerfum okkar) séu 10 á áhættuskalanum myndi 'POODLE' líklega flokkast sem 5.

(Til að hægt sé að ráðast á þig með 'POODLE' öryggisgallanum þarft þú bæði að keyra JavaScript í vafranum þínum - allir þurfa þessa viðbót til að geta skoðað almennar síður - og tölvuþrjóturinn þarf að vera á sama neti og þú, t.d. á sama þráðlausa neti á kaffihúsi. Þetta gerir það að verkum að 'POODLE' er talsvert hættuminni en margir aðrir öryggisgallar sem gera það að verkum að hægt er að tengjast tölvunni þinni annars staðar frá en er þó samt sem áður alvarleg ógn við líf þitt á internetinu.)

Almennt getur þú treyst á að vefsíður geri hið rétta og aftengi SSLv3 hjá sér (eins og við og margar aðrar vinsælar vefsíður hafa nú þegar gert). Vafrahönnuðir eru einnig þegar byrjaðir að skrifa nýjar uppfærslur sem fjarlægja stuðning við SSLv3; þú ættir því að vera verndaður/uð gegn þessum galla í náinni framtið þegar nýjar uppfærslur verða aðgengilegar. Ef þú hefur samt sem áður áhyggjur af þessu getur þú lesið hér hvernig þú getur slökkt á SSLv3 í þínum vafra núna.

Notendur Internet Explorer 6 eru annað mál. Þú sérð þessa frétt líklega ekki ef þú notar IE 6 þar sem vefsíður DalPay styðja aðeins IE 8 og nýrri útgáfur. Ef þú hins vegar þekkir einhvern sem notar IE 6 og vill ekki, eða getur ekki uppfært er hér hægt að finna leiðbeiningar um það hvernig hægt er að virkja TLS v1.0 og gera SSL v2 og SSL v3 óvirkt í Internet Explorer 6 (enska 300Kb PDF).

(Microsoft hefur hvatt notendur IE 6 til að uppfæra síðan 2011, en fyrir þá sem geta ekki uppfært, og þrátt fyrir aðra öryggisgalla IE, er það a.m.k. leið til að vera örugg fyrir þessum galla enn sem komið er.)

Posted on 10.16.2014