阅读:5980回复:41
警报!警报!!
杯催啊,最近这两天才开始关心这个问题虽有所闻,但说真的真正关心起来还真是惊出一身冷汗。花了不少时间理出了一些头绪,可能对你来说是过时的呵呵飘过但总有不是太清楚的。以下全部来源网络转载:对于不太了解这个问题的朋友们有必要先说明一下的是在今年十月,谷歌发现了一项广泛存在于SSL3.0的安全漏洞,这项漏洞代号为 Poodle(贵宾犬),它可导致网络中传输的数据被黑客监听,劫持用户与网站之间传输的数据,窃取用户名、密码等敏感信息。此外,攻击者还可随意篡改用 户接收到的信息,甚至向传输数据中植入恶意代码,进而对用户进行钓鱼、挂马等一系列攻击,用户的网络账密、银行账号、机密文件以及隐私信息都将面临泄露的 风险,这项漏洞影响范围很广,包括IE浏览器、火狐浏览器Firefox和谷歌Chrome浏览器等。再来看看2014 年 10 月 16 日某网站一则通告:http://blog.dnspod.cn/2014/10/sslv3loudong/
2014-10-15 事实证明,人们依赖已久的互联网通信协议——安全套接层(SSL)——已经曝出了一个漏洞。根据Google研究人员公布的报告,SSL 3.0协议中存在一个bug,可被黑客用于截取客户机和服务器之间进行加密的关键数据。该漏洞首选允许攻击者发起降级攻击,即欺骗客户端说服务器不支持更安全的安全传输层(TLS)协议,然后强制其转向使用SSL 3.0。在强制客户端采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies。Google将方式称作POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。简而言之,若受到攻击,你的数据将不再加密。鉴于目前没有更好的解决方案,Google研究人员Bodo Möller、Thai Duong、以及Krzysztof Kotowicz只得强烈建议客户和服务器双方均禁用SSL 3.0。如此一来,服务器和客户端将默认启用更安全的TLS协议。Google表示将在后续更新中移除旗下所有产品的SSL 3.0支持。 2014-12-11 微软今天正式宣布将为IE 11浏览器用户提供新的选项来移除SSL 3.0协议。微软此前就曾表示有计划在今年12月在旗舰浏览器中默认不激活脆弱的SSL 3.0协议,不过就目前的情况来看微软还需要时间来进行部署,官方称将于2015年2月10日默认取消SSL 3.0。今年10月份,谷歌安全专家发现SSL 3.0协议中存在非常严重的BUG,可被黑客用于截取客户机和服务器之间进行加密的关键数据。该漏洞首选允许攻击者发起降级攻击,即欺骗客户端说服务器不支持更安全的安全传输层(TLS)协议,然后强制其转向使用SSL 3.0。 2014-10-23 SSL 3.0曝严重漏洞:行业大佬集体封杀 http://www.cnbeta.com/articles/339599.htm -------------------- (https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/ 好了各位如有空可以网络找找相关的信息)那我们现在应该怎么办了,目前发布的Firefox 34版本和Chrome浏览器( version 39)在内都已经移除了SSL 3.0协议。但这还远远不够,对于用户来说有很多的还在使用老版或用其他的浏览器的做备胎的。 Firefox 的可以打开 Firefox 浏览器,在地址栏输入 about:config ;找到首选项 security.tls.version.min,将其值由0修改为1 或者还有可以用扩展 Disable SSL 3.0 0.1(7.8 kB 貌似就是上面改1)或者 SSL Version Control 0.4(2.1 kB 可以带下拉选项的 ) 那么现在是不是可以动手改了或装了,NO,通过上面的认识有个问题肯定会浮现出来,所以下面这个链接里的一定要知道或者真是你关心的这个问题,把这些搞清楚了你就知道该怎么做了。http://blog.skeeterhouse.com/10563.html (从10月开始,用户已经可以通过Firefox的扩展SSL Version Control禁用SSLv3协议。尽管Mozilla报告称Firefox仅有0.3%的HTTPS链接使用SSLv3协议,Firefox 34现在已经默认禁用了SSLv3协议。Firefox 35承诺将支持通用的TLS降级保护机制SCSV。) ============================== 可以用各种浏览器来测试一下SSL贵宾犬攻击检查:https://www.poodletest.com/ Not图片是已经禁用sslv3.0的,否则没有。 ====== 再提供个在线SSL客户端测试表明浏览器的SSL / TLS的能力:https://www.ssllabs.com/ssltest/viewMyClient.html 直接看下面的Protocol Features栏下的 Protocols 下面的5个TLS 1.2 TLS 1.1 TLS 1.0 SSL 3 SSL 2 右边分别对应的是 Yes ?还是 No ? 很直观的。 注意:上面没有JavaScript的测试将无法运行,请启用JavaScript以获得最佳效果。 补张图:对于已经禁用了(简称禁用)SSL 3.0的本地各种浏览器最好的显示参考: 图片:pppp.jpg ============================= 附带其他浏览器SSL 3.0漏洞解决方案: http://sec.chinabyte.com/130/13117630.shtml http://blog.csdn.net/lyq8479/article/details/40708539 ===========================】 SSL 3.0漏洞解决方案开发者篇 http://blog.csdn.net/lyq8479/article/details/40709175 ========== 测试服务器端SSL:https://www.ssllabs.com/ssltest/ 可以试了试本社区 ========================================= 12月15日重要编辑补充见下面9楼 |
|
1楼#
发布于:2014-12-13 18:09
security.tls.version.min默认就是1啊,34.0.5
|
|
|
2楼#
发布于:2014-12-13 18:11
|
|
|
3楼#
发布于:2014-12-13 18:17
34已经默认禁用了ssl3了。
|
|
4楼#
发布于:2014-12-14 16:40
还不知道有多少没挖出来的呢~~~
|
|
5楼#
发布于:2014-12-14 19:34
34.0.5 测试结果,仍然看到贵宾犬。说是不安全,易受攻击。试了下 Nightly 版本以及 Win8.1自带的IE,也是一样结果。
|
|
6楼#
发布于:2014-12-14 22:10
GOLF-AT:34.0.5 测试结果,仍然看到贵宾犬。说是不安全,易受攻击。试了下 Nightly 版本以及 Win8.1自带的IE,也是一样结果。回到原帖带项链的贵宾犬Vulnerable?(https://www.poodletest.com/vulnsite.png 这永远只是一张Vulnerable图片不是测试网)不会吧,34.0.5貌似已经默认禁用了ssl3.0了吧。别看错了。 |
|
7楼#
发布于:2014-12-14 22:38
qweszxc:带项链的贵宾犬Vulnerable?(https://www.poodletest.com/vulnsite.png)不会吧,34.0.5貌似已经默认禁用了ssl3.0了吧。别看错了。回到原帖我这里nightly也是vulnerable |
|
|
8楼#
发布于:2014-12-14 22:46
Atester:我这里nightly也是vulnerable回到原帖34.0.5或nightly的我这没用不清楚怎么回事(我是FF31esr的),如果是vulnerable 的话就设置改吧很简单的安上面改一下即可。 最棒的设置参考: 进入“about:config”; 搜索 “security.tls.version”; security.tls.version.max; 3 security.tls.version.min; 1 =========注意======= 对于火狐如果碰到改过后正确值测试后无反应可以先把上面2个值都先改为0 ,测试一下肯定是vulnerable后,然后再改成上面3和1正确值再测试一下即可正常,这叫先复位再设置。当然如果把下面的1改为0测试后还是显示正常,还是先要复位再设置来达到你想要的图片效果。 |
|
9楼#
发布于:2014-12-14 23:04
最棒的设置参考: IE的在Internet选项中进入“高级”选项卡,取消勾选“使用SSL3.0”和“使用SSL2.0”,勾选更安全的TLS协议(TLS1.0、TLS1.1和TLS1.2)把这3个全部勾上确定确定即可。(和上面一样也有复位测试设置捣鼓捣鼓乃懂的)
==================================================================================================== 12月15日重要编辑补充(建议系统在登录管理员账户下进行):微软指导SSL 3.0的解决方案,有用户、服务器软件,客户端软件,用组策略、注册表等。 Microsoft 安全通报 3009008 SSL 3.0 中的漏洞可能允许信息泄露 发布日期: 2014 年 10 月 14 日 | 更新日期:2014 年 12 月 9 日 版本: 1.2 (另外是否后面可能还会有更新?) https://technet.microsoft.com/zh-cn/library/security/3009008 ==========【对于个人电脑用户的一点提示仅供交流参考后果自负】============ 除上面顶楼所提到的个人设置外,偶也按上面微软现在的SSL 3.0的解决方案的指导又设置了在组策略中和对于客户端软件的注册表的相关设置: 1)在组策略中微软“漏了”,还应该要对在组策略中还要用同样方法应用于“用户配置”->“管理模板”->“Windows 组件”->“Internet Explorer”->“Internet 控制面板”->“高级页面”->“关闭加密支持”。 2)对于客户端软件的注册表的,微软说的有点那个不太明白(注册表一定要小心操作啊),(我win7_x86的)貌似在……\SSL 3.0\Client定位后,在“编辑”菜单上新建 点DWORD(32-位)值(D),在左边“值名称”栏下,右键重命名键入“已启用”,然后“确定”,然后双击“已启用”弹出对话框,下面数值数据键入“0”确定即可(貌似默认就是0)如下图,最后重启计算机。 HKey_Local_Machine\……\Protocols\SSL 3.0\Client设置后的效果图(我是没有SSL 3.0的,现在是创建出来的,我原来只有SSL 2.0的,如果你没有也可以创建,先定位……\Protocols后,编辑菜单上新建“项”后重命名为SSL 3.0定位它SSL 3.0后再编辑菜单上新建“项”后重命名为Client即可。) 图片:nnn.jpg (下午16点再编辑一下)现在偶又有想法了,看了一下原来HKey_Local_Machine\……\SSL 2.0\Client的在左边“值名称”栏下写的是英文的DisabledByDefault (默认情况下禁用),又再看了英文版的Microsoft Security Advisory3009008(https://technet.microsoft.com/en-us/library/security/3009008.aspx) Version: 2.1(Updated: December 9, 2014),所以为保险期间我又同样的方法再添加个英文的 Enabled(启用) HKey_Local_Machine\……\Protocols\SSL 3.0\Client设置后的效果图: 图片:hhhhh.jpg 感觉还欠缺再编辑一下 ,再加个中文“启用”的 HKey_Local_Machine\……\Protocols\SSL 3.0\Client设置后的效果图: 图片:tttt.jpg 注意: 看到一则之前2014-12-11信息说:微软目前只对企业用户推出了默认关闭的相关选项,这需要在组策略中进行设置。而对于普通用户来说,只能等到明年2月10日才能达到“企业级”默认关闭SSL3.0的效果,或者运行最新的“Fix It”程序进行设置。 来源:http://www.ithome.com/html/ie/116803.htm 貌似是不是想说,不想用手动更新的: 1)普通用户等明年2月10日自动推送更新达到“企业级”默认关闭SSL3.0的效果? 2)使用自动“Fix It” 解决方案 报告里现在确实已有。 微软说的东西总是让人神魂颠倒的很不容易明白,就是要让你自己负责。具体怎么做自己看着办吧。 |
|
10楼#
发布于:2014-12-15 09:56
|
|
11楼#
发布于:2014-12-15 11:47
嗯 SSL3.0 已经废了。谷歌爆漏洞后,本论坛的HTTPS就已修改成只接受 TLS 协议了。
另推荐一篇 blog Getting an A+ on Qualy's SSL Labs Tester https://sethvargo.com/getting-an-a-plus-on-qualys-ssl-labs-tester/ 建议浏览器升级到 Firefox 34。Firefox 总是最安全的浏览器。 |
|
12楼#
发布于:2014-12-15 16:39
qweszxc:带项链的贵宾犬Vulnerable?(https://www.poodletest.com/vulnsite.png)不会吧,34.0.5貌似已经默认禁用了ssl3.0了吧。别看错了。回到原帖34.0.5 全新配置,也是下面这个样子。其它版本(现有配置文件夹,包括Nightly版),也都是下面这个图。 图片:Test.PNG |
|
13楼#
发布于:2014-12-15 16:57
|
|
|
14楼#
发布于:2014-12-15 17:01
|
|
上一页
下一页