SSL 3.0曝出高危險漏洞
2014年10月15日,Google研究人員公佈SSL 3.0協議存在一個非常嚴重的漏洞,更讓人不安的是幾乎所有的瀏覽器都支持SSL 3.0協議。SSL 3.0的漏洞可被黑客用於截取瀏覽器與服務器之間進行傳輸的加密數據,如網銀賬號、支付寶賬號、個人隱私等等,後果的嚴重性相信不用我多說。
SSL 3.0的漏洞允許攻擊者發起降級攻擊,即欺騙瀏覽器說服務器不支持更安全的安全傳輸層(TLS)協議,然後強制其轉向使用SSL 3.0。在強制瀏覽器採用SSL 3.0與服務器進行通訊之後,黑客就可以利用中間人攻擊來解密HTTPs的cookies。Google將其稱之爲POODLE攻擊。簡而言之,若受到POODLE攻擊,所有在網絡上傳輸的數據將不再加密。
解決方案
鑑於目前沒有更好的解決方案,Google安全團隊在聲明中表示,在SSL的支持方OpenSSL還沒有給出解決方案的前提下,強烈建議客戶端和服務器雙方均禁用SSL 3.0。禁用SSL 3.0之後,服務器和客戶端都將啓用更安全的TLS協議(TLS1.0、TLS1.1和TLS1.2)。下面將爲大家介紹常用瀏覽器禁用SSL 3.0的設置方法。
1)點擊瀏覽器右上角的“工具”選項,選擇“Internet選項”;
2)點擊“高級”;
3)在設置列表中找到“使用 SSL 3.0”,將前面的“√”取消,如下圖所示;
4)點擊“確定”保存。
360極速瀏覽器
1)點擊瀏覽器右上角的圖標按鈕“自定義和控制360極速瀏覽器”,選擇“選項”;
2)點擊“高級設置”,再點擊“網絡”模塊中的“系統代理服務器設置...”;
4)在設置列表中找到“使用 SSL 3.0”,將前面的“√”取消,如下圖所示;
5)點擊“確定”保存。
Google Chrome瀏覽器
1)關閉 Chrome 瀏覽器;
2)在 Chrome 瀏覽器的快捷方式上點擊鼠標右鍵,選擇“屬性”;
3)在“快捷方式”-“目標(T)”的末尾追加內容:--ssl-version-min=tls1,如下圖所示。
Firefox瀏覽器
1)打開 Firefox 瀏覽器,在地址欄輸入 about:config;
2)找到首選項 security.tls.version.min,將其值由0修改爲1,如下圖所示。
Opera瀏覽器
1)點擊瀏覽器左上角的"Opera"圖標按鈕,選擇“設置”;
2)在“瀏覽器”設置中,找到“網絡”,點擊“更改代理服務器設置...”;
4)在設置列表中找到“使用 SSL 3.0”,將前面的“√”取消,如下圖所示;
5)點擊“確定”保存。
在SSL 3.0漏洞沒有得到完美解決之前,專家建議網民不要連接使用陌生人的WiFi,更不要在非可信網絡中使用網銀等重要服務。另外,出了這麼大的漏洞,Google、蘋果、微軟及其他瀏覽器廠商都不會坐視不管,請大家及時將自己使用的瀏覽器升級到最新版本。
轉自:http://blog.csdn.net/lyq8479/article/details/40708539