আমি কীভাবে নতুন এসএসএল দুর্বলতা এড়াতে পারি?

নতুন এসএসএল দুর্বলতা এড়াতে আজ আমি কী করতে পারি?

আমি সুরক্ষা এখন পডকাস্ট, পর্ব 223 শুনছি : "এসএসএল সহ সমস্যা"। 223 পর্বের জন্য এমপি 3 (42 এমবি)। প্রতিলিপি ।
আপডেট : নয়টি পর্ব পরে, 232 পর্ব (2010-01-22), 23 মিনিট 00 সেকেন্ড - 28 মিনিট 45 সেকেন্ড, দুর্বলতার জন্য আইইটিএফ এর অনুমোদিত অনুমোদনের বিবরণ রয়েছে । 232 পর্বের জন্য এমপি 3 (48 এমবি)। প্রতিলিপি । ই উইকের একটি আর্টিকেলও রয়েছে: " আইইটিএফ এসএসএল সুরক্ষা ক্ষতিগ্রস্থতার জন্য ফিক্স সম্পূর্ণ করে "। আইইটিএফ খসড়া, আরএফসি 5746 ।

যেহেতু আমি এটি বুঝতে পেরেছি এটি খুব মারাত্মক মানসিক-মধ্যবর্তী দুর্বলতা এবং অপারেটিং সিস্টেমটি আপডেট করা দরকার বা ক্লায়েন্ট পুনর্বিবেচনা প্রত্যাখ্যান করতে পারে (ক্লায়েন্ট ওয়েব ব্রাউজার বা অপারেটিং সিস্টেম কিনা তা আমি নিশ্চিত নই)।

কোন সফ্টওয়্যার আপডেট হয়েছে? আমি সাধারণত উইন্ডোজ এক্সপি-তে থাকি তবে এই সমস্যাটি এড়াতে আমি লিনাক্সের কিছু সংস্করণ ইনস্টল করতে ইচ্ছুক। কোনও আপডেট হওয়া ওয়েব ব্রাউজারটি ইনস্টল করা কি যথেষ্ট?

আমি অনলাইনে কিছু ক্রয় করতে চাই এবং নিশ্চিত হতে চাই যে এই সমস্যায় না পড়েছে।

সংক্ষিপ্ত উত্তর: আপনি 1) অপেক্ষা করতে পারেন, 2) সর্বজনীন অ্যাক্সেস পয়েন্টগুলিতে গুরুত্বপূর্ণ সার্ভারগুলির সাথে সংযোগ এড়াতে পারেন।

প্রথমত, অতিরিক্ত ভয় পাবেন না। শান্ত থাকুন, এবং ফলোআপ পর্বগুলি শুনুন যা অবশ্যই সমস্যার সমাধান বা সংশোধন করার জন্য মোকাবেলা করবে।

আমি যতদূর বুঝতে পেরেছি, বর্ণিত আক্রমণটি যা সম্ভব করে তা একটি একক টিএলএস (ওরফে এসএসএল) সুরক্ষিত অনুরোধ তৈরি করা যা এটি প্রমাণীকরণের মতো দেখায় look মধ্য-ম্যানুয়াল কখনও কখনও সংযোগ থেকে কিছু পড়তে পাবে না, সে নিরাপদ প্রবাহের শুরুতে কেবল একটি দূষিত অনুরোধ সন্নিবেশ করতে পারে। আক্রমণকারী উত্তরটি এমনকি পড়তেও পারে না, তাই তাকে কোনও দূষিত পদক্ষেপের অনুরোধের জন্য নির্ভর করতে হবে।

তবে আপনি ঠিক বলেছেন, এই পরিস্থিতিতে সমস্ত সুরক্ষিত ওয়েব সার্ভারগুলি আপডেট করার প্রয়োজন নেই। এটি ক্লায়েন্টের পক্ষ থেকে আটকাতে পারে না, সুতরাং আপনার সিস্টেম আপডেট করার কোনও সুবিধা নেই। ক্লায়েন্টরা কী করতে পারে তা জিজ্ঞাসা করা হচ্ছে যে সার্ভারটি কীভাবে এটি প্রতিরোধ করতে হবে তা জানার জন্য, এবং সার্ভারটি কিছু না জানলে কেবল সংযোগটি ড্রপ করে। তবে ... "আপনি জানেন, আমরা যদি আমাদের ব্রাউজারগুলিকে পুনর্বিবেচনা সুরক্ষা ব্যতীত টিএলএসের অনুমতি না দিতে বলে থাকি, আমরা আজ কারও সাথে কথা বলতে পারিনি।" যাতে সুরক্ষাটি কেবল টিএলএস এড়ানো সমান হয়।

তবে ঠিক করার আগে ... ঠিক ততটাই সত্য এখনও অব্যাহত রয়েছে যে কোনও পাবলিক অ্যাক্সেস পয়েন্টে যে কোনও টিএলএস সংযোগ খোলা হয়েছে একতরফা দূষিত অনুরোধের পরে চুপচাপ could অবশ্যই আপনি চান না যে "এই ওয়াই অ্যাকাউন্টে এক্স অর্থ স্থানান্তর করুন" বলে এই দাবিটি চান না। :) তবে তারপরে আবারও এর মতো ব্যাংকের লেনদেনের জন্য একাধিক পৃষ্ঠার বোঝা এবং শংসাপত্রের যোগাযোগ প্রয়োজন, তাই আমি সেখানে কোনও ঝুঁকি দেখছি না।

এবং সেখানে আরও খারাপ এবং আরও সম্ভাব্য হুমকি রয়েছে। এটি একটি বিশেষ আকর্ষণীয়, যেহেতু মনে হচ্ছে এটি বর্তমানে এড়িয়ে যাওয়ার কোনও উপায় নেই। সুরক্ষার লোকেরা এ জাতীয় বিষয়ে আগ্রহী। বাস্তবতাটি দেখে মনে হচ্ছে যে লোকেরা অনেক বেশি গুরুতর এবং আরও সহজেই ছদ্মবেশী হতে পারে (সরল একজন হ'ল ম্যান-ইন-দ্য মিডল হ'ল সমস্ত এইচটিটিপিএসকে অনিরাপদ এইচটিটিপিগুলিতে পরিণত করে, এবং বেশিরভাগ লোকেরা এটি লক্ষ্য করে না), তাই আমি তা মনে করি না কেন কেউ এই আক্রমণে বিরক্ত হবে। তবে হ্যাঁ, নিরাপদ দিকে থাকতে, আমি জনসাধারণের অ্যাক্সেস পয়েন্টগুলিতে গুরুত্বপূর্ণ পরিষেবার সাথে সংযোগ না খোলার পরামর্শ দেব।

ব্রুস শ্নিয়ারের একটি দুর্দান্ত উত্তর এখানে , যা থেকে আমি উদ্ধৃত করেছি:

এটি ঠিক না হওয়া অবধি আপনার এসএসএল ব্যবহার করা উচিত নয় এবং কেবল ফোনে ইন্টারনেট ক্রয়ের জন্য অর্থ প্রদান করবেন? আপনার কোনও প্রকার সুরক্ষা ডাউনলোড করা উচিত? আপনার কি আরও কিছু প্রতিকারমূলক পদক্ষেপ নেওয়া উচিত? কি?

আপনি যদি নিয়মিত আইটি টিপেন তবে আপনি বার বার এই ধরণের প্রশ্ন দেখতে পাবেন। এই নির্দিষ্ট দুর্বলতার উত্তর যেমন আপনি পড়েন এমন কোনও দুর্বলতার জন্য একই, কিছুই করবেন না। এটা ঠিক, কিছুই না। আতঙ্কিত হবেন না। আপনার আচরণ পরিবর্তন করবেন না। সমস্যাটি উপেক্ষা করুন এবং বিক্রেতাদের এটি বের করার সুযোগ দিন।

এর কারণগুলি ব্লগ পোস্টে ব্যাখ্যা করা হয়েছে।

আপনাকে ভয় দেখানোর চেষ্টা করে এমন লোকদের কথা শুনবেন না! এটি অবশ্যই অপারেটিং সিস্টেমের ওপরে পরিবর্তনযোগ্য নয়।

আপনার সাধারণ ডিএনএস সরবরাহকারীর সাথে কেবল আপনার ইন্টারনেটকে স্বাভাবিকের মতো ব্যবহার করুন এবং এতটা চিন্তা করবেন না। মাঝের আক্রমণগুলির মধ্যে মানুষের প্রয়োজন ... মাঝারি এবং একটি আদর্শ নেটওয়ার্কের একজন মানুষ, এটি সত্যিই ঘটে না।

আপনি যদি ওয়্যারলেস ব্যবহার করেন তবে নিশ্চিত হয়ে নিন যে আপনি ডাব্লুপিএ 2 ব্যবহার করছেন এবং আপনার কীগুলি প্রায়শই ঘোরান, এবং যদি তারযুক্ত ব্যবহার করে থাকেন তবে আমি চিন্তা করব না।

সর্বজনীন অ্যাক্সেস পয়েন্টগুলি ব্যবহার করবেন না কারণ আপনি সম্ভবত এই ধরণের আক্রমণ ব্যবহার করে এমন কোনও ব্যক্তির মধ্যে দৌড়াবেন।

আপনি যেমন একটি ভাল ডিএনএস প্রদানকারী ব্যবহার নিশ্চিত করুন OpenDNS ।

দিনের শেষে, আপনার আইএসপিতে কিছু আইপিগুলির জন্য একটি কাস্টম রুট থাকতে পারে এবং সমস্ত ডিএনএস অনুরোধ জাল করা হতে পারে, তারা যে কোনও কিছু ব্লক / লগ / পুনরায় রুট করতে পারে ... জীবনে কিছু হতে পারে ... কখনও কখনও, আপনাকে কেবল জীবনের সাথে এগিয়ে যান এবং কনসের সাথে উপযোগী ভারসাম্য বজায় রাখুন!