গুগল এসএসএলভি 3 প্রোটোকলে দুর্বলতার কথা ঘোষণা করেছে

... নিরাপদ সংযোগের প্লেটেক্সটকে কোনও নেটওয়ার্ক আক্রমণকারী দ্বারা গণনা করা যায়।

এই দুর্বলতা সিভিই -2014-3566 উপাধি এবং বিপণনের নাম পুডল দেওয়া হয়েছে।

আমার যদি ` https://www.example.com/ এ কোনও ওয়েবসাইট থাকে তবে এই দুর্বলতা আমাকে প্রভাবিত করে আমি কীভাবে বলতে পারি?

SSLv3 হ'ল ভাঙা

পুডলের আবির্ভাবের সাথে, এসএসএলভি 3 দ্বারা ব্যবহৃত সমস্ত সিফার স্যুট আপোস করা হয়েছে এবং প্রোটোকলটি অপূরণীয়ভাবে ভাঙ্গা বিবেচনা করা উচিত।

ওয়েবসাইট

এসএসএলভি 3 এর মাধ্যমে আপনার ওয়েবসাইটটি উপলব্ধ কিনা তা আপনি পরীক্ষা করতে পারেন curl(1):

curl -v -3 -X HEAD https://www.example.com

-vআউটপুট বাগাড়ম্বরপূর্ণ উপর যুক্তি পালাক্রমে, -3বাহিনী SSLv3 ব্যবহার করতে কার্ল, এবং -X HEADএকটি সফল সংযোগ আউটপুট সীমিত করে।

আপনি যদি দুর্বল না হন তবে আপনার সংযোগ করতে সক্ষম হবেন না এবং আপনার আউটপুটটি এমন কিছু দেখতে হবে:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

আপনি যদি দুর্বল হন তবে আপনার লাইন সহ সাধারণ সংযোগ আউটপুটটি দেখতে হবে:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

অন্যান্য সেবা

এটি কেবলমাত্র SSL- র মাধ্যমে উপলব্ধ ওয়েবসাইটগুলি নয়। মেল, রৌদ্র এবং এলডিএপি হ'ল সুরক্ষিত সংযোগের মাধ্যমে উপলব্ধ পরিষেবাগুলির তিনটি উদাহরণ এবং তারা এসএসএলভি 3 সংযোগ গ্রহণ করার সাথে সাথে একইভাবে পুডলের প্রতি ঝুঁকিপূর্ণ হয়।

SSLv3 ব্যবহার করে কোনও পরিষেবার সাথে সংযোগ স্থাপন করতে, আপনি কমান্ডটি ব্যবহার করতে পারেন :openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

-connectযুক্তি লাগে hostname:portপরামিতি, -ssl3যুক্তি SSLv3 করতে দরকষাকষির প্রোটোকল সংস্করণ সীমিত করে এবং বংশীধ্বনিতুল্য /dev/nullকরতে STDINঅবিলম্বে এটা খোলার পর সংযোগ বন্ধ।

আপনি যদি সফলভাবে সংযোগ করেন তবে এসএসএলভি 3 সক্ষম হয়; আপনি যদি একটি পান ssl handshake failureতবে তা হয় না।

আরো দেখুন

সুরক্ষা এসই তে একটি দুর্দান্ত প্রশ্নোত্তর রয়েছে: /security/70719/ssl3-poodle-vnenerability

আপনি যদি দ্রুত চেক করতে চান তবে নীচের URL টিতে যান। এটি পিডিএল পরীক্ষা করা সহ সমস্ত কিছু এসএসএলকে ধরে রেখে বেশ ভাল কাজ করে।

https://www.ssllabs.com/ssltest/