开发者

Google 披露 SSL 3.0 安全漏洞(附修复方法)?

开发者 https://www.devze.com 2022-12-12 15:48 出处:网络 作者:JAVA百科
美国时间周二,谷歌披露了SSL3.0版本存在的安全风险,类似于此前的心脏出血漏洞机制,允许黑客使用特殊手段从SSL3.0覆盖的安全连接中提取一定字节长度的隐私信息。

美国时间周二,谷歌披露了SSL 3.0版本存在的安全风险,类似于此前的心脏出血漏洞机制,允许黑客使用特殊手段从SSL 3.0覆盖的安全连接中提取一定字节长度的隐私信息。

SSL 3.0已经存在了15年,现在大多数浏览器都支持这个版本。当用户的浏览器使用较新版本的安全协议与服务器连接时,如果由于错误导致连接失败,它将尝试使用较旧版本的安全协议(包括SSL 3.0)进行连接。也就是说,黑客在攻击服务器/单个用户时完全有能力故意制造连接失败,触发浏览器的机制使用SSL 3.0,并从中获取用户/服务器的关键信息。

谷歌安全团队在声明中表示,在SSL支持者OpenSSL Foundation没有给出解决方案的前提下,谷歌Chrome浏览器已经通过技术手段支持了阻止浏览器回落到SSL 3.0进行连接的功能。

安全专家亚当兰利(Adam Langley)在博客中给出了一种用户手动关闭SSL 3.0支持的方法。

Chrome 浏览器——使用命令行工具来关闭掉支持。

Windows用户:

1)完全关闭Chrome浏览器。

2)复制一个快捷方式打开Chrome浏览器。

3)右键单击新快捷方式以输入属性。

4)在“目标”-SSL-version-min=tls1后的字段末尾输入以下命令

Mac x用户:

1)完全关闭Chrome浏览器。

2)找到这台机器附开发者_开发问答带的终端。

3)输入以下命令:/applications/Google \ Chrome.app/Contents/MacOS/Google\ Chrome-SSL-version-min=TLS 1

Linux用户:

1)完全关闭Chrome浏览器。

2)在终端输入如下命令:Google-chrome-SSL-version-min=TLS 1

Firefox浏览器用户可以通过在地址栏中输入大约:config,然后将security.tls.version.min设置为1来输入大约:的设置。

0

精彩评论

暂无评论...
验证码 换一张
取 消