Wanneer u op internet praat, moet u het eens worden over een taal om mee te communiceren. Wat als u privé wilt praten? Wel, daar is encryptie voor. Maar net als bij elke andere vorm van communicatie, moet u ook een vorm van codering hebben die u met iedereen kunt gebruiken met wie u spreekt. Omdat niet alle browsers dezelfde algoritmen gebruiken, moeten servers soms compatibiliteit met algoritmen behouden die nogal gevaarlijk kunnen zijn. Google heeft onlangs een exploit ontdekt die op dit moment invloed kan hebben op miljoenen browsers over de hele wereld die een dergelijk algoritme gebruiken, en we gaan erover praten!

Wat is er gebeurd?

Weet je nog die Heartbleed-bug die op bijna elke technische website werd gemeld? Dit is het probleem als je geen hele muur met tekst wilt lezen: OpenSSL (de versleutelingsalgoritmenbibliotheek die door veel websites over de hele wereld wordt gebruikt) bevatte een gat. De meeste middelgrote en grote websites hebben het met succes aangesloten door OpenSSL eenvoudig te upgraden. Dat was allemaal gedaan en afgestoft totdat er iets anders gebeurde.

Deze keer, wat bekend staat als de POODLE-exploit, heeft Secure Sockets Layer (SSL) opnieuw te lijden, zij het een geheel andere versie ervan. SSL 3.0 heeft een ernstige bug waardoor hackers eenvoudig cookies kunnen decoderen die via het HTTP-protocol zijn verzonden. Hierdoor kunnen ze persoonlijke gegevens zien die bij uw inlogsessie horen en zelfs toestaan ​​dat ze u nabootsen.

De oplossing

SSL 3.0 is een zeer oude cryptografie, die teruggaat tot de tijd dat MySpace nog steeds aan het winnen was als een website voor sociale media. In feite was de term 'sociale media' toen nog niet eens erg populair. Veel van de millenials van vandaag betraden de tienerjaren of speelden nog steeds in het zand tijdens de pauze in de vijfde klas. Dat is hoe oud het is en servers gebruiken het nog steeds!

Sindsdien zijn enkele belangrijke verbeteringen aangebracht, zoals Transport Layer Security (TLS). Dit nieuwe cryptografische protocol elimineert veel van de grote problemen die aanwezig waren in SSL, zoals kwetsbaarheden die tot bepaalde aanvallen leidden (zoals codering van coderingsblokken die werd opgelost in TLS 1.1). De enige reden waarom TLS een nieuw acroniem nodig had, was dat het niet langer "interoperabel" was in SSL. Wat wij industriële know-it-alls betekenen als we zeggen dat iets 'interoperabel' is, is dat het in staat is om met oudere versies van iets te werken.

SSL 3.0 is dus dood en nu gebruiken we iets dat bekend staat als TLS 1.2. Het enige probleem is dat er nog steeds veel browsers zijn die SSL 3.0 gebruiken voor gegevensoverdracht. Servers ondersteunen het nog steeds als een veilige fallback voor het geval de browsers die er verbinding mee maken geen TLS ondersteunen. Het ergste is dat zelfs als uw browser de compatibiliteit met TLS adverteert, er geen garantie is dat de server niet zal reageren met SSL 3.0. Hackers kunnen dit gebruiken om uw browser te dwingen en de servers die uw gegevens verzenden zich aan het oude protocol te houden. Om deze reden en alleen daarom, is de POODLE-exploit nog steeds een groot probleem.

Google heeft een voorstel: waarom stoppen we niet gewoon met het ondersteunen van SSL 3.0 en vragen we iedereen die het gebruikt om te upgraden? Voor mensen die servers en browserontwikkelaars gebruiken, is het beste advies van Google om TLS_FALLBACK-SCSV te ondersteunen. Simpel gezegd, stop met het accepteren van SSL-verbindingen en accepteer alleen die op TLS.

Op dit moment zegt Google dat het werkt aan wijzigingen in Chrome om te voorkomen dat het terugvalt naar SSL. Andere browserontwikkelaars kunnen volgen.

Mijn beste advies is om je browser up-to-date te houden en ervoor te zorgen dat je niet naar sites gaat die je niet vertrouwt. Anders dan dat, kunt u ook websitebeheerders e-mailen met uw zorgen en hen aan dit artikel koppelen.

Nog meer nuttig advies?

Als je denkt dat je iets nuttigs hebt om aan deze discussie toe te voegen, ga je gang en laat het in een commentaar achter! Iedereen moet op de hoogte zijn van alles wat hij kan doen om de veiligheid van al zijn informatie te waarborgen tijdens het surfen op het web.