Khi bạn nói chuyện trên Internet, bạn cần phải đồng ý về một ngôn ngữ để giao tiếp. Nếu bạn muốn nói chuyện riêng tư thì sao? Vâng, có mã hóa cho điều đó. Nhưng cũng giống như bất kỳ loại giao tiếp nào khác, bạn cũng cần phải có một dạng mã hóa mà bạn có thể sử dụng cùng với bất kỳ ai mà bạn đang nói chuyện. Vì không phải tất cả các trình duyệt đều sử dụng cùng một thuật toán, nên đôi khi các máy chủ phải duy trì tính tương thích với các thuật toán có thể khá nguy hiểm. Google gần đây đã phát hiện ra một khai thác vào thời điểm này có thể ảnh hưởng đến hàng triệu trình duyệt trên toàn thế giới sử dụng thuật toán như vậy, và chúng ta sẽ nói về nó!

Chuyện gì đã xảy ra?

Hãy nhớ rằng lỗi Heartbleed đã được báo cáo trong hầu hết các trang web công nghệ? Đây là chạy xuống nếu bạn không muốn đọc toàn bộ bức tường văn bản: OpenSSL (thư viện thuật toán mã hóa được nhiều trang web trên khắp thế giới sử dụng) đã có một lỗ hổng trong đó. Hầu hết các trang web vừa và lớn đã cắm nó thành công bằng cách đơn giản nâng cấp OpenSSL. Đó là tất cả được thực hiện và dusted cho đến khi cái gì khác xảy ra.

Lần này, cái được gọi là khai thác POODLE lại một lần nữa gây rắc rối cho Lớp cổng bảo mật (Secure Sockets Layer - SSL), mặc dù hoàn toàn là một phiên bản khác của nó. SSL 3.0 có một lỗi nghiêm trọng cho phép tin tặc dễ dàng giải mã các cookie được gửi qua giao thức HTTP. Điều này sẽ cho phép họ xem thông tin cá nhân thuộc về phiên đăng nhập của bạn và thậm chí cho phép họ mạo danh bạn.

Giải pháp

SSL 3.0 là mật mã rất cũ, có niên đại từ thời điểm MySpace vẫn thu hút sự chú ý như một trang web truyền thông xã hội. Trong thực tế, thuật ngữ "phương tiện truyền thông xã hội" thậm chí còn không phổ biến lắm. Nhiều người trong số những người mất tích của ngày hôm nay đã hoặc đang bước vào tuổi thiếu niên của họ hoặc vẫn chơi trong bụi bẩn vào giờ giải lao ở lớp năm. Đó là độ tuổi của nó và máy chủ vẫn đang sử dụng nó!

Kể từ đó một số cải tiến lớn đã được thực hiện, chẳng hạn như Transport Layer Security (TLS). Giao thức mã hóa mới này loại bỏ rất nhiều vấn đề lớn đã có trong SSL, như các lỗ hổng dẫn đến các cuộc tấn công nhất định (như chuỗi khối mật mã được giải quyết trong TLS 1.1). Lý do duy nhất TLS cần một từ viết tắt mới là nó không còn "tương thích" trong SSL nữa. Những gì chúng ta hiểu biết về công nghiệp có nghĩa là khi chúng ta nói rằng một cái gì đó là "tương thích" là nó có thể làm việc với các phiên bản cũ của cái gì đó.

Vì vậy, SSL 3.0 đã chết và bây giờ chúng tôi đang sử dụng một cái gì đó được gọi là TLS 1.2. Vấn đề duy nhất là vẫn còn nhiều trình duyệt sử dụng SSL 3.0 để truyền dữ liệu. Các máy chủ vẫn hỗ trợ nó như là một dự phòng an toàn trong trường hợp các trình duyệt kết nối với chúng không hỗ trợ TLS. Phần tồi tệ nhất là ngay cả khi trình duyệt của bạn quảng cáo khả năng tương thích với TLS, không có gì đảm bảo rằng máy chủ sẽ không phản hồi với SSL 3.0. Tin tặc có thể sử dụng điều này để buộc trình duyệt của bạn và máy chủ gửi cho bạn dữ liệu để dính vào giao thức cũ. Vì lý do này và lý do này, việc khai thác POODLE vẫn là một vấn đề lớn.

Google có đề xuất: Tại sao chúng tôi không ngừng hỗ trợ SSL 3.0 và nhắc mọi người sử dụng nó để nâng cấp? Đối với những người đang chạy máy chủ và nhà phát triển trình duyệt, lời khuyên tốt nhất từ ​​Google là hỗ trợ TLS_FALLBACK-SCSV. Nói một cách đơn giản, hãy ngừng chấp nhận các kết nối SSL và chỉ chấp nhận các kết nối đó trên TLS.

Ngay bây giờ, Google nói rằng nó đang làm việc trên các thay đổi cho Chrome để ngăn chặn nó trở lại SSL. Các nhà phát triển trình duyệt khác có thể theo dõi.

Lời khuyên tốt nhất của tôi đối với bạn là cập nhật trình duyệt của bạn và đảm bảo bạn không truy cập các trang web mà bạn không tin tưởng. Ngoài ra, bạn cũng có thể gửi email cho quản trị viên trang web về các mối quan tâm của bạn và liên kết chúng với bài viết này.

Bất kỳ lời khuyên hữu ích nào khác?

Nếu bạn nghĩ rằng bạn có gì đó hữu ích để thêm vào cuộc thảo luận này, hãy tiếp tục và để lại nó trong một bình luận! Mọi người đều cần phải nhận thức được tất cả mọi thứ họ có thể làm để duy trì sự an toàn của tất cả các thông tin của họ khi duyệt Web.