Il est difficile de comprendre toutes ces catastrophes Internet au moment où elles surviennent, tout comme nous pensions qu'Internet était de nouveau sécurisé après Heartbleed et Shellshock ont menacé de "mettre fin à la vie telle que nous la connaissons", sort POODLE.
Ne soyez pas trop agacés parce que ce n'est pas aussi menaçant que cela puisse paraître. La vérité est qu'il s'agit d'un problème, mais il y a des mesures simples que vous pouvez prendre pour vous protéger.
Commençons par le rez-de-chaussée. Qu'est-ce que POODLE? Tout d'abord, cela signifie " Rassembler Oracle sur le chiffrement hérité rétrogradé ." Le problème de sécurité est exactement ce que son nom l'indique, une rétrogradation de protocole qui permet des exploits sur une forme périmée de chiffrement. Le problème a attiré l'attention du monde entier ce mois-ci, lorsque Google a publié un article intitulé «Ce POODLE Bites: Exploiter le SSL 3.0 Fallback».
CONNEXION: Comment se connecter à un VPN sous Windows
termes plus simples, si un attaquant utilisant une attaque Man-In-The-Middle peut prendre le contrôle d'un routeur sur un hotspot public, il peut forcer votre navigateur à revenir à SSL 3.0 (un protocole plus ancien) au lieu d'utiliser le TLS plus moderne. (Transport Layer Security), puis exploiter un trou de sécurité dans SSL pour pirater les sessions de votre navigateur. Étant donné que ce problème est dans le protocole, tout ce qui utilise SSL est affecté.
Tant que le serveur et le client (navigateur Web) prennent en charge SSL 3.0, l'attaquant peut forcer une rétrogradation du protocole, même si votre navigateur essaie d'utiliser TLS, il finit par être forcé d'utiliser SSL à la place. La seule réponse est que l'un ou l'autre côté ou les deux côtés suppriment le support SSL, ce qui élimine la possibilité d'être déclassé.
Si vous naviguez principalement de chez vous et n'utilisez pas les hotspots publics, les risques de dommages sont assez faibles. peut simplement prendre les mesures faciles décrites plus loin dans l'article pour vous protéger. Si vous utilisez souvent un hotspot public, il est peut-être temps de penser à utiliser un VPN.
Comme il n'y a pas moyen de résoudre les problèmes de SSL, la seule solution et les serveurs Web pour tout mettre à niveau pour supprimer le support SSL et n'exiger que le cryptage TLS.
Google et Firefox ont déjà annoncé qu'ils supprimeront le support à l'avenir, et même si nous n'avons pas (encore) entendu parler de Microsoft , il est extrêmement facile en tant qu'utilisateur final de désactiver SSL 3.0 dans IE. La plupart des grandes entreprises Web suppriment la prise en charge de SSL après la découverte de ce problème, mais cela prendra du temps à tout le monde.
En tant que consommateur, vous pouvez supprimer le support SSL de votre navigateur en utilisant l'un des les méthodes décrites ci-dessous - ou si vous utilisez Firefox ou Google Chrome et n'utilisez pas les hotspots tout le temps, vous pouvez attendre qu'ils mettent à jour le navigateur. Ou vous pouvez vous assurer que vous avez corrigé le problème vous-même.
Si vous êtes un utilisateur de Mozilla Firefox, vos problèmes SSL 3.0 seront mis à jour le 25 novembre 2014 lorsque Fireox 34 est libéré. Le seul problème avec ceci est que ce n'est pas encore Novembre et vous devez prendre des mesures pour vous protéger maintenant. Commencez par ouvrir votre navigateur Firefox et naviguez jusqu'à la page de téléchargement SSL Version Control dans Firefox.
Une fois l'installation terminée, vous pouvez saisir "about: addons" dans la barre de navigation et sélectionner l'extension "SSL Version Control" . Vous pouvez cliquer sur "Options" pour voir les paramètres de l'extension. Assurez-vous que les "Mises à jour automatiques" sont activées et que la "Version SSL minimale" est définie sur "TLS 1.0"
Après la publication de Firefox 34, vous pouvez désactiver l'extension ou la désinstaller.
Si vous êtes un utilisateur de Google Chrome, vous pouvez être assuré que le protocole SSL 3.0 sera désactivé dans les mois à venir, bien qu'il n'ait pas encore défini de date. Si vous voulez vous protéger maintenant, cela peut être fait en quelques étapes simples. Accédez simplement à l'icône de votre bureau Google Chrome et faites un clic droit dessus puis sélectionnez "Propriétés" en bas du menu contextuel.
Dans la fenêtre "Propriétés" vous verrez une boîte de saisie de texte qui indique "Cible". Cliquez simplement dans cette case et appuyez sur le bouton "Fin" de votre clavier. Ensuite, appuyez sur la "barre d'espace" et copiez et collez ce texte sur la fin
- ssl-version-min = tls1
Appuyez sur "Appliquer" puis cliquez sur "Continuer" dans la fenêtre, puis appuyez sur "OK". "
Maintenant, votre navigateur va automatiquement rejeter les certificats SSL 3.0 et accepter uniquement TLS 1.0 et supérieur. Il est à noter que si vous lancez Chrome via un autre raccourci sur votre ordinateur, il n'utilisera pas cet indicateur
Microsoft n'a pas encore annoncé quand il envisage d'adresser le SSL Il est donc préférable de le désactiver vous-même en ouvrant votre menu "Démarrer" et en tapant "Options Internet".
Allez dans l'onglet "Avancé" et descendez jusqu'à la section "Sécurité" jusqu'à ce que vous voyiez le SSL et Cliquez sur Options TLS, puis décochez l'option Utiliser SSL 3.0 et activez plutôt TLS.
De cette façon, vous pouvez être sûr que vos navigateurs Internet sont tous protégés contre toute attaque POODLE potentielle.
Crédit image: Karen sur Flickr
Comment réparer Windows Media Player ne peut pas lire ce message d'erreur DVD
N'est-il pas génial que même dans notre ère informatique moderne avec Windows 7 et Windows 8, vous pouvez toujours recevoir une erreur comme "Windows Media Player ne peut pas lire ce DVD parce qu'il y a un problème de protection contre la copie numérique" un habitué de Netflix sur votre ordinateur? C
Avec 1 milliard de vues Jusqu'à présent, nous nous déplaçons Comment faire?
Neuf ans après le lancement de How-To Geek, nous avons servi 1 milliard de pages vues à nos lecteurs. Voici l'histoire (brève) de comment nous l'avons fait, et comment nous allons prendre les choses au niveau suivant. Spoiler: Nous avons embauché un nouveau rédacteur en chef génial. Au cas où vous ne savez pas qui je suis, je m'appelle Lowell Heddings, et je suis le fondateur, le propriétaire, l'administrateur de serveur, le programmeur, et Le rédacteur en chef actuel de How-To Geek.