Tarayıcımızı SSL 3.0 açığı ve poodle saldırısından koruyalım


ssl 3.0 açığı

Bilindiği üzere Google 14 Ekim 2014 te Poodle saldırısının ayrıntılarını yayımladı Burada , SSL 3.0 – Secure Socket Layer (Güvenli Giriş Katmanı) adıyla bilinir yaklaşık 18 yıllık bir geçmişe sahip

ilk olarak Netscape tarafından 1994 yılında internet üzerinde veri iletişimini güvenliğini sağlamak üzere geliştirilmiş bir protokoldür ve günümüz tüm web tarayıcıları (browser) tarafından desteklenir , günümüzde gelişmiş bir versiyonu lan TLS kullanılır , POODLE (Padding Oracle On Downgraded Legacy Encryption) kelime olarak fino köpeği anlamına gelmektedir ve bu saldırıda kullanıcı sunucuya SSL 3.0 üzerinden bağlanmaya zorlanıyor ve verileri ele geçiriliyor , gelelim nasıl korunulacağına : Google ,Hem sunucu hemde kullanıcı tarafından SSL 3.0 ın devre dışı bırakılmasını tavsiye ediyor , Kullanıcı tarafından devre dışı bırakmak ta ratayıcılardaki bu uygulamayı disable etmek sureti ile olacaktır , peki ama kullandığımız tarayıcı bu açıktan etkileniyormu acaba gelin bunu test edelim , aşağıdaki linklerden birine tıkladığımızda tarayıcımızın bu açıktan etkilenip etkilenmediğini görebiliriz

https://www.ssllabs.com/ssltest/viewMyClient.html

https://www.poodletest.com/

https://zmap.io/sslv3/

poodle açığı

Eğer etkileniyorsa (örnek resim üstte) aşağıdaki ayarlardan sonra testi tekrar edin açığın kapandığını göreceksiniz

1. İnternet explorerde SSL 3.0 ı disable edelim

Sağ üst köşedeki dişli ikonuna tıklayalım ve internet seçeneklerine gidelim , sonrasında Gelişmiş tabına geçerek Güvenlik başlığı altında yeralan SSL 3.0 kullan yazısının önündeki tik i kaldıralım

internet explorerde SSL 3.0 ı disable edelim

ve onaylayıp çıkalım eğer bu işi otomatik yaptırmak istiyorsanız Microsoft Fix it i kullanabilirsiniz Burada

2. Firefox ta SSL 3.0 açığından korunalım

Adres satırına aşağıdakini yazalım

about:config

ve gelen uyarı penceresinde söz veriyorum dikkatli olacağım butonuna tıklayalım.

firefox uyarisi

açılan arama boşluğuna aşağıdakini yazalım

security.tls.version.min

ve üzerine çift tıklayıp değeri 1 yapalım (Aşağıdaki resim)

Firefox security TLS

ve tamam deyip Firefox u yeniden başalatalım

3. Google Chrome de SSL 3.0 açığından korunalım

Chrome de direkt bir ayarlama imkanı verilmemiş , fakat parametre olarak chrome kısayolu ile bu iş halledilebiliyor bunun için masaüstündeki chrome ikonuna sağ tıklayalım ve özellikler diyelim açılan ekranda hedef kısmının en sonuna bir boşluk bırakarak aşağıdakini yapıştıralım

–ssl-version-min=tls1

Bize yönetici izni soracaktır “devam et” diyelim

chrome de ssl 3.0 açığından korunma

4. Operada SSL 3.0 açığından korunalım

Adres barına aşağıdakini yazalım

opera:config#SecurityPrefs

açılan ekranda eğer Enable SSL v3 ün ardında tik varsa bunu kaldıralım (aşağıdaki resim)

Operada SSl 3.0 açığını kapatalım

Muhtemeşen tarayıcıların bir sonraki versionlarında SSL 3.0 default olarak kapalı gelecektir.



Yorum Ekle

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

CAPTCHA