美国时间周二,谷歌披露了SSL 3.0版本存在的安全风险,类似于此前的心脏出血漏洞机制,允许黑客使用特殊手段从SSL 3.0覆盖的安全连接中提取一定字节长度的隐私信息。
SSL 3.0已经存在了15年,现在大多数浏览器都支持这个版本。当用户的浏览器使用较新版本的安全协议与服务器连接时,如果由于错误导致连接失败,它将尝试使用较旧版本的安全协议(包括SSL 3.0)进行连接。也就是说,黑客在攻击服务器/单个用户时完全有能力故意制造连接失败,触发浏览器的机制使用SSL 3.0,并从中获取用户/服务器的关键信息。
谷歌安全团队在声明中表示,在SSL支持者OpenSSL Foundation没有给出解决方案的前提下,谷歌Chrome浏览器已经通过技术手段支持了阻止浏览器回落到SSL 3.0进行连接的功能。
安全专家亚当兰利(Adam Langley)在博客中给出了一种用户手动关闭SSL 3.0支持的方法。
Chrome 浏览器——使用命令行工具来关闭掉支持。
Windows用户:
1)完全关闭Chrome浏览器。
2)复制一个快捷方式打开Chrome浏览器。
3)右键单击新快捷方式以输入属性。
4)在“目标”-SSL-version-min=tls1后的字段末尾输入以下命令
Mac x用户:
1)完全关闭Chrome浏览器。
2)找到这台机器附开发者_开发问答带的终端。
3)输入以下命令:/applications/Google \ Chrome.app/Contents/MacOS/Google\ Chrome-SSL-version-min=TLS 1
Linux用户:
1)完全关闭Chrome浏览器。
2)在终端输入如下命令:Google-chrome-SSL-version-min=TLS 1
Firefox浏览器用户可以通过在地址栏中输入大约:config,然后将security.tls.version.min设置为1来输入大约:的设置。
精彩评论