Google araştırmacıları, SSL'nin bir sürümünde güvenliği delmeye izin verebilecek bir açık keşfettiler.
Google güvenlik araştırmacısı Bodo Möller, yaptığı açıklamada saldırganların SSL 3.0'da bağlantı hatası oluşturarak web tarayıcısını protokolün eski sürümlerini kullanmaya zorlayabileceğini söyledi. Yaklaşık 15 yaşında olan SSL 3.0, hala birçok web tarayıcısı tarafından kullanılıyor.
Möller, yayınladığı"POODLE saldırımız (Padding Oracle On Downgraded Legacy Encryption), "güvenli" HTTP çerezlerini çalabiliyor" dedi. Möller'e göre sorunu çözmek için SSL 3.0'ı sunucuda veya istemcide devre dışı bırakmak . Ancak bunu yapmak, önemli uyumluluk sorunları ortaya çıkarabilir. Möller bu yüzden TLS_FALLBACK_SCSV mekanizmasının desteklenmesini istiyor.
Möller, Google Chrome'un TLS_FALLBACK_SCSV'i Şubat'tan bu yana desteklediğini söylüyor. Möller, Google'ın SSL 3.0'ı "önümüzdeki aylarda" tüm istemci ürünlerinden kaldıracağını da bildiriyor.
Firefox'un geliştirici Mozilla ise SSL 3.0'ın Kasım sonunda yayınlanması planlanan Firefox 34'de devre dışı bırakılacağını söyledi. Firma, Firefox'ta SSL 3.0'ın tüm HTTPS bağlantılarının sadece yüzde 0.3'ünü oluşturduğunu ileri sürüyor. Mozilla, beklemek istemeyenler için ise SSLv3'ü hemen devre dışı bırakmaya yönelik 'ü yayınlamış bulunuyor.
Internet Explorer'da ise SSL v3'ü devre dışı bırakmak oldukça kolay, yapmanız gereken Internet Seçenekleri 'nden Gelişmiş sekmesine girip, "SSL v3" 'ün yanındaki işareti temizlemek.
Son Dakika › Teknoloji › Sslv3 İnterneti Tehdit Ediyor - Son Dakika
Masaüstü bildirimlerimize izin vererek en son haberleri, analizleri ve derinlemesine içerikleri hemen öğrenin.
Sizin düşünceleriniz neler ?