SSL 3.0曝出高危险漏洞
2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号、支付宝账号、个人隐私等等,后果的严重性相信不用我多说。
SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说服务器不支持更安全的安全传输层(TLS)协议,然后强制其转向使用SSL 3.0。在强制浏览器采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies。Google将其称之为POODLE攻击。简而言之,若受到POODLE攻击,所有在网络上传输的数据将不再加密。
解决方案
鉴于目前没有更好的解决方案,Google安全团队在声明中表示,在SSL的支持方OpenSSL还没有给出解决方案的前提下,强烈建议客户端和服务器双方均禁用SSL 3.0。禁用SSL 3.0之后,服务器和客户端都将启用更安全的TLS协议(TLS1.0、TLS1.1和TLS1.2)。下面将为大家介绍常用浏览器禁用SSL 3.0的设置方法。
1)点击浏览器右上角的“工具”选项,选择“Internet选项”;
2)点击“高级”;
3)在设置列表中找到“使用 SSL