دو روز گذشته( ۲۳ مهر ۱۳۹۳ ) گروهی از کارشناسان گوگل اشکالی امنیتی در پروتکل امنیتی SSL 3.0 پیدا کردند که باعث میشود افراد مهاجم بتوانند اطلاعات کدشده میان سرور و مرورگر را بخوانند.
این اشکال امنیتی Poodle نام گرفته و برای رفع آن هیچ راه حلی به جز غیرفعال کردن SSL 3.0 روی مرورگر وجود ندارد.
موزیلا اعلام کرد که در نگارش ۳۵ فایرفاکس این پروتکل را به طور کلی غیرفعال خواهد کرد. گوگل نیز اعلام کرد برنامه دارد تا این پروتکل را در آیندهای نزدیک از کروم حذف کند.
از دید فنی، مهاجمینی که در شبکهی داخلی شما باشند، میتوانند با انجام تغییراتی در درخواستهای ارسال شده و ارسال درخواستهای مکرر بعدی، اطلاعات حساسی مانند cookieهای مرورگر شما را کشف کنند.
مطابق بررسیهای مشترک موزیلا و دانشگاه میشیگان، با غیرفعال کردن SSL 3.0 حدود ۰.۳ درصد سرورهای موجود در اینترنت همچنان از این پروتکل که توسعهی آن به دو دههی گذشته برمیگردد وابسته هستند و غیرفعال کردن SSL 3.0 سبب میشود دسترسی به این سرورها غیرممکن شود.
از طرف دیگر، تنها مرورگری که از نگارشهای جدیدتر پروتکل امنیتی به نام TLS پشتیبانی نمیکند، Internet Explorer 6.0 است.
راه حل موقتی
در حال حاضر به شیوههای مختلف میتوانید استفاده از این پروتکل را در مرورگر خود غیرفعال کنید.
موزیلا یک افزونهی جدید را منتشر کرده که شما را در انجام این کار یاری میرساند.
گوگل کروم نیز با دستور خط فرمان –ssl-version-min=tls1 پشتیبانی از SSL 3.0 را غیرفعال میکند.
برای کسب اطلاعات بیشتر از پیوندهای زیر استفاده کنید
وبلاگ امنیتی گوگل
وبلاگ موزیلا