SSLv3 açığı interneti tehdit ediyor...
Google'dan güvenlik araştırmacıları, internetin şifreleme mekanizmasında önemli bir açık keşfetti!
Google araştırmacıları, SSL'nin bir sürümünde güvenliği delmeye izin verebilecek bir açık keşfettiler.
Google güvenlik araştırmacısı Bodo Möller, yaptığı açıklamada saldırganların SSL 3.0'da bağlantı hatası oluşturarak web tarayıcısını protokolün eski sürümlerini kullanmaya zorlayabileceğini söyledi. Yaklaşık 15 yaşında olan SSL 3.0, hala birçok web tarayıcısı tarafından kullanılıyor.
Möller, yayınladığı belgede "POODLE saldırımız (Padding Oracle On Downgraded Legacy Encryption), "güvenli" HTTP çerezlerini çalabiliyor" dedi. Möller'e göre sorunu çözmek için SSL 3.0'ı sunucuda veya istemcide devre dışı bırakmak yeterli oluyor. Ancak bunu yapmak, önemli uyumluluk sorunları ortaya çıkarabilir. Möller bu yüzden TLS_FALLBACK_SCSV mekanizmasının desteklenmesini istiyor.
Möller, Google Chrome'un TLS_FALLBACK_SCSV'i Şubat'tan bu yana desteklediğini söylüyor. Möller, Google'ın SSL 3.0'ı "önümüzdeki aylarda" tüm istemci ürünlerinden kaldıracağını da bildiriyor.
Firefox'un geliştirici Mozilla ise SSL 3.0'ın Kasım sonunda yayınlanması planlanan Firefox 34'de devre dışı bırakılacağını söyledi. Firma, Firefox'ta SSL 3.0'ın tüm HTTPS bağlantılarının sadece yüzde 0.3'ünü oluşturduğunu ileri sürüyor. Mozilla, beklemek istemeyenler için ise SSLv3'ü hemen devre dışı bırakmaya yönelik SSL Version Control'ü yayınlamış bulunuyor.
Internet Explorer'da ise SSL v3'ü devre dışı bırakmak oldukça kolay, yapmanız gereken Internet Seçenekleri 'nden Gelişmiş sekmesine girip, "SSL v3" 'ün yanındaki işareti temizlemek.