I Six Weeks Time Google frigiver Ny version af deres browser for at forhindre påberåbe sig en fejl i SSL 3.0 Certifikat.
Som vi skrev tidligere i denne måned Google opdaget en strømning i SSL 3.0 certifikat af web-sites og servere tillader hackere at stjæle oplysninger fra brugere. Fejlen fundet kaldes officielt Padding Oracle On nedgraderet Legacy Encryption (POODLE). Hvad det gør, er at tillade hackere til at stjæle brugernes oplysninger og cookies ved den såkaldte Man-in-the-Middle (MITM) teknik, bygger på usikre sammenhænge, hvor de fører brugerne at falde tilbage i tidligere versioner som ovennævnte certifikat.
Google annoncerede, at de vil være at frigive en ny version af deres Chrome-browseren på seks uger til at fjerne denne fejl. Evnen af den nye browser version til at falde tilbage på forkerte eller buggy servere bliver deaktiveret som standard.
»SSLv3-fallback er kun nødvendigt at understøtte buggy HTTPS-servere. Servere, der korrekt understøtter kun SSLv3 vil fortsætte med at arbejde (for nu) men nogle buggy servere kan stoppe med at arbejde. Svaret er i disse tilfælde at fastsætte serveren — TLS 1.0 er næsten 15 år på dette tidspunkt ', Adam Langley, en Google sikkerhed ingeniør, sagde i et indlæg annoncerer frigivelsen.
Mangler tid til at oversætte den fejl for brugere, der falder tilbage til buggy servere, Chrome version 39 vil kun vise en fejlmeddelelse om "ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION’ at identificere problemet. En gul badge i adresselinjen i browseren vil advare brugerne, når de træder sites, der arbejder med SSL 3.0 og disse vil have til at blive opgraderet til mindst TLS 1.0 før Chrome 40 frigives.
→»Dog, en mangel på en gul badge betyder ikke, at alt vil være fint, da der stadig kan være subresources af siden, der tjente over SSLv3 tilslutninger. Udviklere kan køre Chrome med –ssl-versionen-min = tls1 for at teste deres websteder. ", Langley post fortsætter.
Google Chrome 40 forventes at blive frigivet i tolv uger tid, dvs.. 6 uger efter Chrome 39 løsladelse og SSL 3.0 støtte vil blive fjernet helt i sin kode. Dette er under forudsætning af, at alle servere er opgraderet til TLS 1.0 udgave mindste ved da selv.
»I tiden, SSLv3 klient støtte vil blive fjernet fra koden, så alle genaktiverer SSLv3 og / eller fallback til den via politik, kommandolinjeflag eller ca.:flag skal ikke behandle det som en langsigtet løsning. ", advarer posten.
Tidligere i denne måned for at forhindre POODSLE angreb Mozilla også annonceret at de vil frigive en ny version af browseren - Mozilla 34. Det er på grund på November 25.
Brugere, der arbejder med Microsofts Internet Explorer, kan anvende en rettelse for at forebygge problemet, følgende Microsofts guide her.
Men, bruger sikre VPN-forbindelser, især på offentlige steder, stadig den bedste beskyttelse mod disse angreb.