Hlavní navigace

Tenhle pudl kouše. Po Heartbleedu je tu další díra v SSL – Poodle

Jan Kovalík 15. 10. 2014

Google upozornil na další bezpečnostní díru v šifrovacím protokolu SSL, která útočníkům umožňuje získat informaci z cookies uživatelů.

Trojice výzkumníků společnosti Google včera odhalila bug Poodle „Padding Oracle On Downgraded Legacy Encryption“ a tento pudl opět vyděsil správce webů po celém světě.

Zabezpečení SSL 3 je již 15 let staré, a jeho dopad proto není tolik drtivý jako v případě hrozeb Heartbleed nebo Shellshock, nicméně velké množství webů toto zabezpečení stále využívá nebo alespoň dovoluje jeho využití v případě, že není možné využít novější verze.

Protokol SSL chrání komunikaci mezi uživatelem a internetovou stránkou, většina uživatelů jej zná v podobě zeleného indikátoru v příkazovém řádku prohlížeče, který signalizuje, že se nachází v bezpečné zóně HTTPS.

Útočníci mají tedy dvě možnosti, jak zranitelnosti SSL 3 využít. Buď se jim podaří zmanipulovat cílový web, aby umožnil alternativní šifrování pomocí SSL 3. Druhým způsobem je provedení klasického “man in the middle” útoku, například pomocí falešné WiFi sítě v nákupním centru nebo kavárně.

Pokud se uživatelé do bezdrátové sítě útočníka připojí, může pak za využití Poodle chyby získat obsah uživatelovy cookie, ze které může získat například jména a hesla k emailovým účtům, účtům na sociálních sítích nebo přístupové údaje do internetového bankovnictví.

Google vyzval správce sítí, aby podporu staré verze zabezpečení SSL 3 ze svých webů odstranili a nadále nevyužívali. Na rozdíl od zmíněného bugu Heartbleed, který ohrozil dvě třetiny světových webů, z nichž k nápravě řada přistoupila až po měsících po jeho zveřejnění, zabezpečení proti Poodle by mělo být rychlejší.

Google již aktualizací svého prohlížeče Chrome ukončil podporu zabezpečení SSL 3 a předpokládá se, že ho budou v podobě automatické aktualizace následovat i konkurenční prohlížeče Firefox (Mozilla), Internet Explorer (Microsoft) a Safari (Apple).

Našli jste v článku chybu?

15. 10. 2014 20:13

Tomáš2 (neregistrovaný)

článek obsahuje řadu méně závažných nepřesností nebo polopravd.

SSL není "zabezpečení", ale protokol (způsob) pro komunikaci mezi serverem a klientem.

zelený indikátor v adresním (nikoliv příkazovém) řádku indikuje kromě šifrované komunikace hlavně ověření vlastníka domény, tj. konkrétní firmu. Zatímco pro samotnou šifrovanou komunikaci (https) stačí pouze ikonka zámečku v tomhle řádku

"...dovoluje jeho využití v případě, že není možné využít novější verze." je správné chování a v tom by neby…

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí