बहुत काम न करें क्योंकि यह लगता है कि यह खतरनाक नहीं है। सच्चाई यह है कि यह चिंतित होने का मुद्दा है, लेकिन आप अपने बचाव के लिए कुछ आसान कदम उठा सकते हैं।
पुडल क्या है?
चलो जमीन के तल पर शुरू करते हैं। पुडल क्या है? सबसे पहले, यह "डाउनग्रेडेड लीगेसी एन्क्रिप्शन पर पैडिंग ओरेकल"सुरक्षा समस्या ठीक है जो नाम बताता है, एक प्रोटोकॉल डाउनग्रेड जो एन्क्रिप्शन के पुराने रूप पर शोषण की अनुमति देता है। यह मुद्दा इस महीने दुनिया के ध्यान में आया जब Google ने "यह पुडल काटने: एसएसएल 3.0 फॉलबैक एक्सप्लॉयटिंग" नामक एक पेपर जारी किया।
सरल शब्दों में इसे समझाने के लिए, यदि मैन-इन-द-मध्य हमले का उपयोग करने वाला हमलावर सार्वजनिक हॉटस्पॉट पर राउटर का नियंत्रण ले सकता है, तो वे आपके ब्राउज़र को एसएसएल 3.0 (पुराने प्रोटोकॉल) में डाउनग्रेड करने के लिए मजबूर कर सकते हैं अधिक आधुनिक टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी), और फिर अपने ब्राउज़र सत्र को हाइजैक करने के लिए एसएसएल में सुरक्षा छेद का फायदा उठाते हैं। चूंकि यह समस्या प्रोटोकॉल में है, एसएसएल का उपयोग करने वाली कुछ भी प्रभावित होती है।
जब तक सर्वर और क्लाइंट (वेब ब्राउज़र) दोनों एसएसएल 3.0 का समर्थन करते हैं, हमलावर प्रोटोकॉल में डाउनग्रेड को मजबूर कर सकता है, इसलिए यदि आपका ब्राउज़र टीएलएस का उपयोग करने का प्रयास करता है, तो इसके बजाय एसएसएल का उपयोग करने के लिए मजबूर होना पड़ता है। एसएसएल के लिए समर्थन हटाने के लिए, दोनों तरफ या दोनों पक्षों के लिए एकमात्र उत्तर डाउनग्रेड होने की संभावना को हटा रहा है।
यदि आप मुख्य रूप से घर से ब्राउज़ करते हैं और सार्वजनिक हॉटस्पॉट का उपयोग नहीं करते हैं, तो क्षति की संभावना बहुत कम है, और आप अपने आप को बचाने के लिए लेख में बाद में दिए गए आसान कदम उठा सकते हैं। यदि आप अक्सर सार्वजनिक हॉटस्पॉट का उपयोग करते हैं, तो यह एक वीपीएन का उपयोग करने के बारे में सोचने का समय हो सकता है।
हम समस्या को कैसे हल कर सकते हैं?
चूंकि एसएसएल के साथ समस्याओं को हल करने का कोई तरीका नहीं है, इसलिए ब्राउज़र निर्माताओं और वेब सर्वरों के लिए एसएसएल के समर्थन को हटाने के लिए सब कुछ अपग्रेड करने के लिए एकमात्र समाधान है और केवल टीएलएस एन्क्रिप्शन की आवश्यकता है।
Google और फ़ायरफ़ॉक्स ने पहले से ही घोषणा की है कि वे भविष्य में समर्थन हटा देंगे, और जब तक हमने माइक्रोसॉफ्ट से ऐसा नहीं सुना है, तो अंत में उपयोगकर्ता आईई में एसएसएल 3.0 को अक्षम करने के लिए बेहद आसान है। इस समस्या को प्रकाश में आने के बाद अधिकांश बड़ी वेब कंपनियां एसएसएल के लिए समर्थन हटा रही हैं, लेकिन सभी को ऐसा करने में कुछ समय लगेगा।
एक उपभोक्ता के रूप में, आप नीचे दिए गए तरीकों में से किसी एक का उपयोग करके अपने ब्राउज़र से SSL के लिए समर्थन हटा सकते हैं - या यदि आप फ़ायरफ़ॉक्स या Google क्रोम का उपयोग कर रहे हैं और हर समय हॉटस्पॉट का उपयोग नहीं कर रहे हैं, तो आप ब्राउज़र को अपडेट करने के लिए प्रतीक्षा कर सकते हैं। या आप यह सुनिश्चित कर सकते हैं कि आपने स्वयं समस्या को ठीक कर दिया है।
मोज़िला फ़ायरफ़ॉक्स में एसएसएल 3.0 को अक्षम करना
यदि आप मोज़िला फ़ायरफ़ॉक्स उपयोगकर्ता हैं, तो आपकी एसएसएल 3.0 चिंताओं को 25 नवंबर, 2014 को बिस्तर पर रखा जाएगा जब फ़ायरॉक्स 34 जारी किया जाएगा। इसके साथ एक समस्या यह है कि यह अभी तक नवंबर नहीं है और अब आपको खुद को बचाने के लिए कार्रवाई करने की आवश्यकता है। फ़ायरफ़ॉक्स में अपने फ़ायरफ़ॉक्स ब्राउज़र को खोलकर और SSL संस्करण नियंत्रण डाउनलोड पृष्ठ पर नेविगेट करके प्रारंभ करें।
Google क्रोम में एसएसएल 3.0 को अक्षम करना
यदि आप Google क्रोम उपयोगकर्ता हैं, तो आप आश्वस्त रह सकते हैं कि आने वाले महीनों में एसएसएल 3.0 अक्षम कर दिया जाएगा, हालांकि उन्होंने अभी तक कोई तारीख निर्धारित नहीं की है। अगर आप अभी खुद को सुरक्षित रखना चाहते हैं, तो इसे कुछ सरल चरणों में किया जा सकता है। बस अपने Google क्रोम डेस्कटॉप आइकन पर जाएं और उस पर राइट क्लिक करें, फिर पॉपअप मेनू के नीचे "गुण" चुनें।
--ssl-version-min=tls1
अब आपका ब्राउज़र स्वचालित रूप से एसएसएल 3.0 प्रमाणपत्रों को अस्वीकार कर देगा और केवल टीएलएस 1.0 और उच्चतर स्वीकार करेगा। यह ध्यान देने योग्य है कि यदि आप अपने कंप्यूटर पर किसी अन्य शॉर्टकट के माध्यम से क्रोम लॉन्च करते हैं, तो यह इस ध्वज का उपयोग नहीं करेगा।
इंटरनेट एक्सप्लोरर में एसएसएल 3.0 को अक्षम करना
माइक्रोसॉफ्ट ने अभी तक घोषणा नहीं की है कि वे एसएसएल 3.0 मुद्दे को हल करने की योजना बना रहे हैं, इसलिए अपने "स्टार्ट" मेनू को खोलकर और "इंटरनेट विकल्प" टाइप करके इसे स्वयं अक्षम करना सबसे अच्छा है।
छवि क्रेडिट: फ्लिकर पर करेन