När du pratar på Internet måste du komma överens om ett språk som du ska kommunicera med. Vad händer om du vill prata privat? Jo, det finns kryptering för det. Men precis som någon annan form av kommunikation måste du också ha en form av kryptering som du kan använda ömsesidigt med vem du pratar med. Eftersom inte alla webbläsare använder samma algoritmer måste servrar ibland behålla kompatibilitet med algoritmer som kan vara ganska farliga. Google har nyligen upptäckt ett utnyttjande som för närvarande kan påverka miljontals webbläsare över hela världen som använder en sådan algoritm, och vi kommer att prata om det!

Vad hände?

Kom ihåg att Heartbleed bug som rapporterades på nästan alla tekniska webbplatser? Här är nedgången om du inte vill läsa en hel textmängd: OpenSSL (krypteringsalgoritmbiblioteket som används av många webbplatser runt om i världen) hade ett hål i det. De flesta medelstora och stora webbplatser pluggar upp det framgångsrikt genom att helt enkelt uppgradera OpenSSL. Det var allt gjort och dammat tills något annat hände.

Den här gången, vad som kallas POODLE exploiterar, återigen plaguing Secure Sockets Layer (SSL), om än en annan version av det helt. SSL 3.0 har en allvarlig bugg som gör att hackare enkelt kan dekryptera cookies som skickas via HTTP-protokollet. Detta låter dem se personlig information som hör till din inloggningssession och till och med tillåta dem att efterlikna dig.

Lösningen

SSL 3.0 är mycket gammal kryptografi, som går tillbaka till de tidpunkter då MySpace fortfarande fick traction som en social media webbplats. I själva verket var termen "sociala medier" inte ens mycket populär då. Många av dagens millenials gick antingen in i sina tonår, eller spelade fortfarande i smuts i recess i femte klass. Så gammal är det, och servrar använder fortfarande det!

Sedan dess har vissa stora förbättringar gjorts, såsom Transport Layer Security (TLS). Det här nya kryptografiska protokollet eliminerar många av de stora problemen som förekommit i SSL, till exempel sårbarheter som ledde till vissa attacker (till exempel chiffer block chaining som löstes i TLS 1.1). Den enda anledningen till att TLS behövde en ny akronym var att den inte längre var "driftskompatibel" i SSL. Vad vi industriella know-it-alls betyder när vi säger att något är "driftskompatibelt" är att det kan arbeta med äldre versioner av något.

Så, SSL 3.0 är död och nu använder vi något som kallas TLS 1.2. Det enda problemet är att det fortfarande finns många webbläsare som använder SSL 3.0 för dataöverföring. Servrar stöder fortfarande det som en säker återgång, om webbläsare som ansluter till dem inte stöder TLS. Den värsta delen är att även om din webbläsare annonserar sin kompatibilitet med TLS, finns det ingen garanti för att servern inte svarar med SSL 3.0. Hackare kan använda detta för att tvinga din webbläsare och servrarna som skickar dig data för att hålla sig till det gamla protokollet. Av denna anledning och endast denna anledning utnyttjas POODLE fortfarande en stor sak.

Google har ett förslag: Varför slutar vi inte bara stödja SSL 3.0 och uppmanar alla att använda den för att uppgradera? För personer som kör servrar och webbläsarutvecklare är det bästa rådet från Google att stödja TLS_FALLBACK-SCSV. Enkelt, sluta acceptera SSL-anslutningar och acceptera bara de som finns på TLS.

Just nu säger Google att det arbetar med ändringar i Chrome för att förhindra att det faller tillbaka till SSL. Andra webbläsare kan följa med.

Mitt bästa råd till er att hålla din webbläsare uppdaterad och se till att du inte går till webbplatser som du inte litar på. Annat än det kan du också maila webbplatsadministratörer med dina problem och länka dem till den här artikeln.

Något annat användbart råd?

Om du tycker att du har något användbart att lägga till i den här diskussionen, vänligen fortsätt och lämna den i en kommentar! Alla måste vara medvetna om allt de kan göra för att behålla säkerheten för all sin information när de surfar på webben.