En six semaines Google publions nouvelle version de son navigateur pour empêcher appuyant sur un bogue dans le SSL 3.0 Certificat.
Comme nous l'écrivions plus tôt ce mois-ci Google a découvert un flux dans le SSL 3.0 certificat de sites Web et les serveurs permettant attaquants de voler des informations aux utilisateurs. Le défaut constaté est officiellement appelé Rembourrage Oracle On dégradée cryptage Legacy (POODLE). Ce qu'il fait est permettant aux pirates de voler les informations et les cookies des utilisateurs par le soi-disant Man-in-the-Middle (MITM) technique, se fondant sur les connexions non sécurisées où ils conduisent les utilisateurs à se replier dans les versions antérieures, comme le certificat ci-dessus.
Google a annoncé qu'ils vont sortir une nouvelle version de son navigateur Chrome dans un délai de six semaines pour éliminer ce défaut. La capacité de la version du nouveau navigateur de se replier sur des serveurs mal ou en buggy sera désactivé par défaut.
«SSLv3-secours est seulement nécessaire pour supporter les serveurs buggy HTTPS. Les serveurs qui prennent en charge correctement que SSLv3 continuera à travailler (pour l'instant) mais certains serveurs en buggy peuvent cesser de fonctionner. La réponse dans ces cas est de fixer le serveur — TLS 1.0 est presque 15 ans à ce moment », Adam Langley, un ingénieur en sécurité de Google, dit dans un post annonçant la sortie.
Faute de temps pour traduire l'erreur pour les utilisateurs de retomber à des serveurs en buggy, La version de Chrome 39 ne fera que montrer un message d'erreur indiquant ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION '’ à identifier le problème. Un badge jaune dans la barre d'adresse du navigateur alerter les utilisateurs quand ils entrent dans les sites de travail avec SSL 3.0 et ceux-ci devront être mis à jour au moins TLS 1.0 avant Chrome 40 est libérée.
→«Toutefois, un manque d'un badge jaune ne signifie pas que tout ira bien car il pourrait encore être sous-ressources de la page qui sont servis sur des connexions SSLv3. Les développeurs peuvent fonctionner avec Chrome –ssl-version-min = TLS1 afin de tester leurs sites. ", Le poste de Langley continue.
Google Chrome 40 est due à être libéré dans douze semaines, i.e. 6 semaines après la libération et SSL de Chrome 39 3.0 soutien sera complètement retiré dans son code. Ceci est à la condition que tous les serveurs sont mis à niveau à TLS 1.0 Version au moins alors que.
«Dans le temps, SSLv3 soutien à la clientèle sera supprimé à partir du code, si quelqu'un de réactiver SSLv3 et / ou de repli à elle par la politique, options de ligne de commande ou sur:drapeaux ne doivent pas considérer que comme une solution à long terme "., avertit le poste.
Plus tôt ce mois-ci afin de prévenir les attaques de POODSLE Mozilla a également annoncé qu'ils vont sortir une nouvelle version du navigateur - Mozilla 34. Elle est due à Novembre 25.
Les utilisateurs qui travaillent avec Internet Explorer de Microsoft peuvent appliquer un correctif pour empêcher la délivrance, suivant Guide de Microsoft ici.
Cependant, utilisant des connexions VPN sécurisées, en particulier dans les lieux publics, reste la meilleure protection contre ces attaques.