| 0 |
|
Google опубликовала подробности найденной уязвимости в стандарте SSL версии 3.0. Она позволяет совершать сетевые атаки через этот защищенный протокол.
SSL 3.0 исполнилось уже почти 18 лет, но его использование остается очень широким. Самое главное, что почти все браузеры поддерживают его, причем, для того, чтобы обойти ошибки в HTTPS-серверах, браузеры совершают повторные попытки соединения, используя более старые версии протокола, в том числе SSL 3.0. Поскольку злоумышленники могут вызывать сбои подключения, они способны таким образом инициировать переход на SSL 3.0, а затем использовать его уязвимости.
Отключение поддержки SSL 3.0 устраняет эту проблему, но создает значительные проблемы совместимости. Поэтому в компании рекомендуют использовать метод TLS_FALLBACK_SCSV. Этот механизм решает проблемы, вызванные необходимостью повторного соединения, и тем самым не позволяет злоумышленникам инициировать использование браузерами SSL 3.0. Он также предотвращает понижение применяемой версии TLS с 1.2 до 1.1 или 1.0, что может помочь предотвратить будущие атаки.
Как отмечается, браузер Chrome и серверы компании уже поддерживают TLS_FALLBACK_SCSV с февраля этого года и, таким образом, в Google уверены в том, что его можно использовать без проблем с совместимостью. Кроме того, команда Chrome начала тестирование возможности полного запрета на откат до SSL 3.0 в их браузере. В компании предупреждают, что такая мера приведет к проблемам в работе с некоторыми сайтами.
В ближайшие месяцы в Google хотят полностью убрать поддержку SSL 3.0 из своих продуктов.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
