Google Предупреждает об уязвимости SSLv3

Search engine giant Google announced another internet-wide SSL vulnerability that is affecting almost every active server and web browser, including Firefox and Google Chrome.

41 Total views
175 Total shares
Internet-Wide SSLv3 Vulnerability Exposed: Google and BitMEX Offer Fixes

Поисковый гигант Google рассказал об ещё одной бреши в системе SSL, которая касается почти каждого активного сервера и веб-браузера, в том числе Firefox и Google Chrome.

Подробности этого открытия были опубликованы в блоге компании на этой неделе. Уязвимым признан протокол SSLv3. Его можно найти во всех основных браузерах, и он хранится там из-за проблем с совместимостью. Но поскольку SSLv3 используется почти 15 лет, недостатки в связи между браузером и удаленным сервером могут быть использованы для перехвата ваших зашифрованных данных (содержащих ваш ISP, Wi-Fi хост или прокси-сервер). В результате чего безопасность вашей системы может быть под угрозой.

Google в настоящее время работает над решением данной проблемы, но большинство сайтов могут по-прежнему оставаться уязвимыми. Но есть и хорошая новость: проблему можно решить в ручную. Инструкция для этого приведена ниже.

Необходимость делать такие изменения особенно важна для пользователей Биткоин, поскольку хакеры могут украсть сессионные cookie с сайтов Биткоин, например, во время обмена или передачи доступа к онлайн кошельку.

Также рекомендуется использовать двухфакторную аутентификацию (SMS, Google Authenticator, Authy, Yubikey и т.д.) на любом сайте, где вы производите денежные переводы. Сделав необходимые изменения, конечно, не гарантирует вам полную защиты, но зато значительно её повысит.

Google опубликовали эту новость 15 октября, и проблема с SSLv3 уже устранена на BitMEX и TestNet. Ожидается, что и другие сайты последуют их примеру в ближайшие дни. Однако напоминаем, что разработчики рекомендуют также сделать необходимые изменения в установках своего браузера в вручную.

Инструкции приведены ниже:

manually fixes inforgraphics

Firefox

Если вы работаете в Firefox версии 34 (выпуск от ноября) SSLv3 там будет уже отключен по умолчанию. Если нет – просто наберите “about: config” в адресной строке. Вы получите предупреждение, что "это может привести к аннулированию гарантии". Нажмите "Я буду осторожен, я обещаю" и продолжить.

Найдите в меню параметр “security.tls.version.min” и установите его значение в 1. После этого, перезагрузите браузер для устранения всех открытых соединений SSL.

Google Chrome

Windows

Просто отредактируйте ярлыки (shortcuts), которые вы используете для запуска Chrome и добавьте “--ssl-version-min=tls1”.

Mac

В Chrome отсутствует графический интерфейс для отключения SSLv3, так что это необходимо сделать с помощью параметров инициализации.

Создание AppleScript:

Сделайте shell script: “/Applications/Google\\Chrome.app/Contents/MacOS/Google\\Chrome-SSL-version-min=tls1”.

Сохраните его в качестве приложения, и используйте для запуска Chrome.

Linux                    

Для Linux необходимо отредактировать файл “/usr/share/applications/google-chrome.desktop”. (sudo nano /usr/share/applications/google-chrome.desktop). Все строки, начинающиеся “Exec =” должны включать “-ssl-версия-мин = TLS1”.

Предлагаем также прочитать рекомендации на форуме Google.

CoinTelegraph хотел бы поблагодарить технического директора BitMex – Сэмюела Рида за предоставление этой информации.

×

Hottest Bitcoin News Daily

For updates and exclusive offers, enter your e-mail below.