Bitcoin Forum

У Вас все еще включен SSL3? Проверьте сервер и браузер на уязвимость POODLE

Уязвимость POODLE известна уже довольно давно. Ее описание встречалось на Хабре (http://habrahabr.ru/company/mailru/blog/241113/), однако проблема все еще остается актуальной, и SSL 3.0 все еще используется на многих веб серверах. http://www.host-tracker.com/ предлагает простой способ проверить, есть ли эта уязвимость на стороне Вашего браузера или же любого веб сервера.

http://i67.fastpic.ru/big/2015/0314/3d/2c19cb55620680c129cdd25fb74ad43d.png

Проверка браузера происходит автоматически сразу же после выбора SSLv3 как метода проверки. Для проверки сервера, необходимо ввести адрес сайта и нажать «проверить». В результате будет совершена попытка подключения через SSL 3.0 и возвращен результат — удалось или не удалось подключиться, соответственно, будем знать, включен ли этот протокол на проверяемом сервере.

http://i57.fastpic.ru/big/2015/0314/9a/d7902375670563fdc0351494876c039a.png

Стоить подчеркнуть: наличие поддержки более поздних версий защищенного протокола не является панацеей от этой уязвимости. Как отмечено в упомянутой выше статье, всегда есть способ заставить вернуться к старой версии протокола. Единственный выход — полное ее отключение. Поэтому, если проверка покажет, что протокол включен — дырка в безопасности имеет место быть. Для того, чтобы обезопасить себя, достаточно просто обновить браузер. Состоянием на конец 2014 года эта уязвимость была закрыта в последних версиях всех популярных браузеров. С серверами несколько сложнее. Конечно, на данный момент более 99% всех веб серверов используют более новые протоколы по умолчанию. Тем не менее, достаточное их количество одновременно поддерживают SSL 3.0 «на всякий случай». А это потенциальная угроза.



Источник: http://habrahabr.ru/company/host-tracker/blog/248803/

P.S.: Как написано в одном из комментариев:


http://habrahabr.ru/company/host-tracker/blog/248803/#comment_8250979