Eine neue Exploit ist jetzt in Ihrem Browser - wie Sie sich schützen können
Wenn Sie im Internet sprechen, müssen Sie sich auf eine Sprache einigen, mit der Sie kommunizieren können. Was, wenn du privat reden willst? Nun, dafür gibt es eine Verschlüsselung. Aber genau wie jede andere Art von Kommunikation müssen Sie auch eine Form der Verschlüsselung haben, die Sie gemeinsam mit jedem verwenden können, mit dem Sie sprechen. Da nicht alle Browser dieselben Algorithmen verwenden, müssen Server manchmal die Kompatibilität mit Algorithmen aufrechterhalten, die ziemlich gefährlich sein können. Google hat kürzlich einen Exploit entdeckt, der in diesem Moment weltweit Millionen von Browsern betrifft, die einen solchen Algorithmus verwenden, und wir werden darüber sprechen!
Was ist passiert?
Erinnerst du dich an den Heartbleed-Bug, der auf fast jeder Tech-Website gemeldet wurde? Wenn Sie nicht eine ganze Textseite lesen möchten, ist das ein Problem: OpenSSL (die Verschlüsselungsalgorithmusbibliothek, die von vielen Websites auf der ganzen Welt verwendet wird) hatte ein Loch darin. Die meisten mittleren und großen Websites haben es durch einfaches Upgraden von OpenSSL erfolgreich abgeschlossen. Das war alles erledigt und abgestaubt, bis etwas anderes passierte.
Dieses Mal, was als der POODLE-Exploit bekannt ist, wird wieder einmal Secure Sockets Layer (SSL) geplagt, wenn auch eine andere Version davon. SSL 3.0 hat einen schwerwiegenden Fehler, mit dem Hacker Cookies, die über das HTTP-Protokoll gesendet werden, einfach entschlüsseln können. Auf diese Weise können sie persönliche Informationen sehen, die zu Ihrer Login-Sitzung gehören, und ihnen sogar erlauben, sich als Sie zu imitieren.
Die Lösung
SSL 3.0 ist eine sehr alte Kryptographie, die auf die Zeiten zurückgeht, in denen MySpace als Social-Media-Website immer noch an Bedeutung gewann. Der Begriff "Social Media" war damals noch nicht einmal sehr populär. Viele der heutigen Jahrtausende waren entweder in ihren Teenagerjahren oder spielten in der fünften Klasse immer noch im Dreck. So alt ist es, und die Server nutzen es immer noch!
Seitdem wurden einige wichtige Verbesserungen vorgenommen, wie zum Beispiel die Transport Layer Security (TLS). Dieses neue kryptografische Protokoll beseitigt viele der großen Probleme, die bei SSL aufgetreten sind, wie Sicherheitslücken, die zu bestimmten Angriffen geführt haben (z. B. die Verkettung von Verschlüsselungsblöcken, die in TLS 1.1 gelöst wurde). Der einzige Grund, warum TLS ein neues Akronym benötigte, war, dass es in SSL nicht mehr "interoperabel" war. Was wir als Alleskönner der Industrie meinen, wenn wir sagen, dass etwas "interoperabel" ist, ist, dass es in der Lage ist, mit älteren Versionen von etwas zu arbeiten.
Also, SSL 3.0 ist tot und jetzt verwenden wir etwas, das als TLS 1.2 bekannt ist. Das einzige Problem ist, dass immer noch viele Browser SSL 3.0 für die Datenübertragung verwenden. Server unterstützen es weiterhin als sicheres Ausweichsystem, falls die mit ihnen verbundenen Browser TLS nicht unterstützen. Der schlimmste Teil ist, dass selbst wenn Ihr Browser die Kompatibilität mit TLS ankündigt, es keine Garantie gibt, dass der Server nicht mit SSL 3.0 antwortet. Hacker können damit Ihren Browser und die Server, die Ihnen Daten senden, dazu zwingen, sich an das alte Protokoll zu halten. Aus diesem Grund und nur aus diesem Grund ist der POODLE-Exploit immer noch eine große Sache.
Google hat einen Vorschlag: Warum hören wir nicht einfach auf, SSL 3.0 zu unterstützen und alle, die es verwenden, zum Upgrade aufzufordern? Für Leute, die Server und Browser-Entwickler betreiben, ist der beste Rat von Google, TLS_FALLBACK-SCSV zu unterstützen. Vereinfachen Sie einfach die Annahme von SSL-Verbindungen und akzeptieren Sie nur solche auf TLS.
Im Moment sagt Google, dass es an Änderungen an Chrome arbeitet, um zu verhindern, dass es wieder auf SSL zurückfällt. Andere Browser-Entwickler können diesem Beispiel folgen.
Ich empfehle Ihnen, Ihren Browser auf dem neuesten Stand zu halten und sicherzustellen, dass Sie nicht auf Websites gehen, denen Sie nicht vertrauen. Darüber hinaus können Sie auch Website-Administratoren mit Ihren Anliegen per E-Mail kontaktieren und sie mit diesem Artikel verknüpfen.
Irgendein anderer hilfreicher Rat?
Wenn Sie der Meinung sind, dass Sie etwas hilfreiches zu dieser Diskussion beitragen können, lassen Sie es bitte in einem Kommentar stehen! Jeder muss sich dessen bewusst sein, was er tun kann, um beim Surfen im Internet die Sicherheit aller Informationen zu gewährleisten.