Skip to main content

SSL 3.0 Sudah Mati! Amankan Browser Anda melawan Serangan Poodle

SSL 3.0 Sudah Mati! Amankan Browser Anda melawan Serangan Poodle

Geoffrey Carr

Menggunakan kerentanan dalam SSL 3.0, penyerang dapat menyuntikkan kode berbahaya ke komputer Anda dan kompromi. Mereka juga dapat berkompromi dengan server web hosting menggunakan SSL 3.0 yang sama. Kebanyakan browser masih mendukung SSL3, karena sebagian besar server web masih menggunakan SSL 3.0 untuk komunikasi seperti login, mengisi formulir apa pun, dll.

Serangan keamanan Poodle

Secure Sockets Layer atau SSL adalah protokol cryptographic yang dirancang untuk memberikan keamanan komunikasi melalui Internet. Sekarang sudah terlampaui Transport Layer Security atau TLS.

Itu Serangan pudel memungkinkan penjahat web untuk memotong data yang dikirim melalui koneksi SSL3. Tidak hanya dapat dia memotong data, penjahat web dapat menyuntikkan data mereka sendiri ke dalam koneksi, membuat situs web percaya bahwa itu berasal dari browser. Demikian juga, itu membuat browser percaya bahwa data jahat berasal dari server web.

POODLE adalah singkatan Padding Oracle On Downgrade Enkripsi Legacy. Ini adalah kesalahan protokol dan tidak terkait dengan implementasi. Ini berarti bahwa terlepas dari bagaimana SSL3 diimplementasikan oleh browser atau host, cacat akan ada bagi penyerang untuk dieksploitasi. Satu-satunya metode untuk menyelamatkan diri Anda dari diretas, adalah dengan menonaktifkan SSL3.0 di peramban Anda dan di server hosting web Anda.

Anda dapat menguji kerentanan browser Anda dengan mengunjungi situs web ini menggunakan browser yang ingin Anda periksa: ssllabs.com.

Nonaktifkan SSL 3.0

Untuk melindungi diri dari serangan keamanan Poodle, Anda mungkin ingin menonaktifkan atau mengunci SSL 3.0 di browser web Anda.

Internet Explorer : Buka dialog Opsi Internet dari Panel Kontrol dan masuk ke tab lanjutan. Periksa Penggunaan SSL 3.0 dan hapus centang.

Microsoft telah merilis Fix It yang memungkinkan pengguna menonaktifkan SSL 3.0 di Internet Explorer. Microsoft juga telah mengumumkan bahwa SSL 3.0 akan dinonaktifkan dalam konfigurasi default Internet Explorer dan di seluruh layanan online Microsoft selama beberapa bulan mendatang, dan merekomendasikan agar pelanggan memigrasikan klien dan layanan ke protokol keamanan yang lebih aman, seperti TLS 1.0, TLS 1.1 atau TLS 1.2.

Firfox : Untuk mendapatkan opsi untuk menonaktifkan SSL3, ketik "about: config" di bilah alamat. Pencarian untuk security.tls.version.min dalam hasil atau gunakan bilah pencarian untuk mencarinya. Klik dua kali pada baris dan ubah nilainya dari 0 menjadi 1. Ini akan memaksa Firefox hanya menggunakan TLS1.0 dan di atasnya sehingga menonaktifkan SSL3.0.

Firefox telah mengatakan akan menonaktifkan SSL 3.0 di rilis berikutnya, sama seperti mereka menonaktifkan Java 6 ketika yang terakhir ditemukan sangat rentan.

Google Chrome: Ini tidak terlihat di Pengaturan. Seseorang harus menambahkan parameter ke pintasan Chrome sehingga menonaktifkan SSL3 dan hanya memaksa TLS. Klik kanan pada pintasannya dan pilih Properties. Di bidang berlabel Target, tambahkan –Ssl-version-min = tls1. Jadi jalan Anda akan muncul sebagai:

'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1

Bahkan Google telah mengatakan bahwa, dalam beberapa bulan mendatang, ia berharap untuk menghapus dukungan untuk SSL 3.0 sepenuhnya dari semua produk kliennya

Pemilik situs atau Host: Sebagai pemilik situs web atau host web, Anda harus mempertimbangkan untuk menonaktifkan SSL 3 di server Anda, sesegera mungkin

Untuk rincian lengkap tentang serangan POODLE dan kerentanan SSL 3.0, silakan kunjungi oracle.com.

Posting terkait:

  • Kiat dan Trik Google Chrome untuk pengguna Windows
  • Apa Kerentanan Perangkat Lunak dan kerentanan Zero-day dalam keamanan komputer?
  • Daftar Browser Alternatif untuk Windows
  • Panduan & Alat Penghapusan Malware untuk Pemula
  • Apa artinya Zero Day attack, exploit, atau vulnerability

Link
Plus
Send
Send
Pin