Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
POODLE atağı(Açılımı Padding Oracle On Downgraded Legacy Encryption) web tarayıcılarının SSL 3.0 mekanizmasının avantajından faydalanan ortadaki adam atağıdır.
Eğer saldıranlar başarılı bir şekilde bu açıklığı geçebilirlerse, ortalama olarak, şifrelenmiş mesajın bir baytını ortaya çıkarabilmek için sadece 256 SSL 3.0 sorgusu yapmaya ihtiyaç duyarlar.
Bu saldırı Bodo Möller, Tha Duong ve Krzystof Kotowicz (Google Güvenlik Ekibi) tarafından keşfedildi. Atak Heartbleed ve Shellshcok atakları kadar ciddiye alınmadı. Bu açığın CVE(Ortak güvenlik açıkları ve tespitler) numarası CVE-2014-3566 .
Yavaş bozulmadan faydalanma
POODLE birlikte çalışabilirlik adına güvenliği azaltmak için tasarlanmış bir mekanizmanın olmasından dolayı başarılı olmuş bir güvenlik açığı örneğidir.
POODLE gibi oluşan açıklar yüksek seviyede fragmantasyon barındırarak tasarlanan sistemler olduğunda daha fazla dikkat gerektirir. Bu gibi sistemlerde yavaş bozulma güvenlik açığı yaygın hale gelebilir.
Korunma
POODLE atağını hafifletmek için, SSL 3.0'ı sunucu ve istemci tarafında tamamen sorgulayamaz ve cevap alamaz haline getirmektir. Bununla birlikte bazı eski istemciler ve sunucular zaten TLS 1.0 ve üzerini desteklememektedir. Dolayısı ile POODLE atağına maruz kalmamaktadır. Bu yüzden POODLE atağının yazarları tarayıcıları ve sunucuları TLS_FALLBACK_SCSV, gerçekleştirimi içinde desteklemektedir.
Diğer hafifletme yolu "anti POODLE kayıt bölmeleme" sini gerçekleştirmektir. Kayıtları birçok parçaya ayırır ve onların hiçbirinin saldırıya uğramadığından emin olur. Bununla birlikte bölmelemenin problemi, belirli geçerli kayıtlar olmasına rağmen, sunucu taraflı gerçekleştirimlerdeki problemler yüzünden uyumluluk problemlerine yol açabilecek olmasıdır. opera25 bu hafifletme gerçekleştirimine sahiptir.
Google'ın Chrome Tarayıcısı ve onların sunucuları çoktan SCSV yi desteklemektedir ve Google ssl 3.0 desteğini birkaç ay içinde ürünlerinin tamamından kaldırmayı planlamaktadır ve Mozilla da SSL 3.0'ı Firefox 34(Kasım 2014'te piyasaya sürülecek)'den kaldıracaktır ve SCSV'nin desteği Firefox 35'e eklenecektir. Microsoft SSL 3.0'ı internet explorer ve Windows İşletim sisteminden nasıl kaldıracağını açıklayan güvenlik bildirisi yayınlamıştır.
Bazı web sunucuları SSL 3.0 desteğini POODLE atağını önlemek için kaldırdı, CloudFlare gibi.
OpenSSL version 1.0.1j, 1.0.0o ve 0.9.8zc Ekim 15 2014 e TSL FALLBACK SCSV için desteğini içeren sürümü yayınlanacak.
Ayrıca bakınız
Kaynakça
- ^ Hagai Bar-El. . 27 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- ^ Bodo Moeller and Adam Langley (4 Haziran 2014). "draft-ietf-tls-downgrade-scsv-00 - TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks". 13 Mart 2016 tarihinde kaynağından . Erişim tarihi: 15 Ekim 2014.
- ^ Langley, Adam (14 Ekim 2014). . 8 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ekim 2014.
- ^ Molland, Håvard (15 Ekim 2014). . Opera. 22 Ekim 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ekim 2014.
- ^ Möller, Bodo (14 Ekim 2014). . 20 Ocak 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- ^ . 14 Ekim 2014. 10 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- ^ "Vulnerability in SSL 3.0 Could Allow Information Disclosure". 14 Ekim 2014. 6 Nisan 2016 tarihinde kaynağından . Erişim tarihi: 15 Ekim 2014.
- ^ Prince, Matthew (14 Ekim 2014). . 23 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- ^ . OpenSSL. 13 Ağustos 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
Dış bağlantılar
- 1076983 – (POODLE) Padding oracle attack on SSL 3.0 28 Ekim 2014 tarihinde Wayback Machine sitesinde . Mozilla Bugzilla
- Çanakkale OnSekiz Mart Üniversitesi Bilgisayar Mühendisliği22 Ekim 2013 tarihinde Wayback Machine sitesinde .
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
POODLE atagi Acilimi Padding Oracle On Downgraded Legacy Encryption web tarayicilarinin SSL 3 0 mekanizmasinin avantajindan faydalanan ortadaki adam atagidir Eger saldiranlar basarili bir sekilde bu acikligi gecebilirlerse ortalama olarak sifrelenmis mesajin bir baytini ortaya cikarabilmek icin sadece 256 SSL 3 0 sorgusu yapmaya ihtiyac duyarlar Bu saldiri Bodo Moller Tha Duong ve Krzystof Kotowicz Google Guvenlik Ekibi tarafindan kesfedildi Atak Heartbleed ve Shellshcok ataklari kadar ciddiye alinmadi Bu acigin CVE Ortak guvenlik aciklari ve tespitler numarasi CVE 2014 3566 Yavas bozulmadan faydalanmaPOODLE birlikte calisabilirlik adina guvenligi azaltmak icin tasarlanmis bir mekanizmanin olmasindan dolayi basarili olmus bir guvenlik acigi ornegidir POODLE gibi olusan aciklar yuksek seviyede fragmantasyon barindirarak tasarlanan sistemler oldugunda daha fazla dikkat gerektirir Bu gibi sistemlerde yavas bozulma guvenlik acigi yaygin hale gelebilir KorunmaPOODLE atagini hafifletmek icin SSL 3 0 i sunucu ve istemci tarafinda tamamen sorgulayamaz ve cevap alamaz haline getirmektir Bununla birlikte bazi eski istemciler ve sunucular zaten TLS 1 0 ve uzerini desteklememektedir Dolayisi ile POODLE atagina maruz kalmamaktadir Bu yuzden POODLE ataginin yazarlari tarayicilari ve sunuculari TLS FALLBACK SCSV gerceklestirimi icinde desteklemektedir Diger hafifletme yolu anti POODLE kayit bolmeleme sini gerceklestirmektir Kayitlari bircok parcaya ayirir ve onlarin hicbirinin saldiriya ugramadigindan emin olur Bununla birlikte bolmelemenin problemi belirli gecerli kayitlar olmasina ragmen sunucu tarafli gerceklestirimlerdeki problemler yuzunden uyumluluk problemlerine yol acabilecek olmasidir opera25 bu hafifletme gerceklestirimine sahiptir Google in Chrome Tarayicisi ve onlarin sunuculari coktan SCSV yi desteklemektedir ve Google ssl 3 0 destegini birkac ay icinde urunlerinin tamamindan kaldirmayi planlamaktadir ve Mozilla da SSL 3 0 i Firefox 34 Kasim 2014 te piyasaya surulecek den kaldiracaktir ve SCSV nin destegi Firefox 35 e eklenecektir Microsoft SSL 3 0 i internet explorer ve Windows Isletim sisteminden nasil kaldiracagini aciklayan guvenlik bildirisi yayinlamistir Bazi web sunuculari SSL 3 0 destegini POODLE atagini onlemek icin kaldirdi CloudFlare gibi OpenSSL version 1 0 1j 1 0 0o ve 0 9 8zc Ekim 15 2014 e TSL FALLBACK SCSV icin destegini iceren surumu yayinlanacak Ayrica bakinizTransport Layer SecurityKaynakca Hagai Bar El 27 Mart 2016 tarihinde kaynagindan arsivlendi Erisim tarihi 15 Ekim 2014 Bodo Moeller and Adam Langley 4 Haziran 2014 draft ietf tls downgrade scsv 00 TLS Fallback Signaling Cipher Suite Value SCSV for Preventing Protocol Downgrade Attacks 13 Mart 2016 tarihinde kaynagindan Erisim tarihi 15 Ekim 2014 Langley Adam 14 Ekim 2014 8 Nisan 2016 tarihinde kaynagindan arsivlendi Erisim tarihi 16 Ekim 2014 Molland Havard 15 Ekim 2014 Opera 22 Ekim 2015 tarihinde kaynagindan arsivlendi Erisim tarihi 16 Ekim 2014 Moller Bodo 14 Ekim 2014 20 Ocak 2015 tarihinde kaynagindan arsivlendi Erisim tarihi 15 Ekim 2014 14 Ekim 2014 10 Nisan 2016 tarihinde kaynagindan arsivlendi Erisim tarihi 15 Ekim 2014 Vulnerability in SSL 3 0 Could Allow Information Disclosure 14 Ekim 2014 6 Nisan 2016 tarihinde kaynagindan Erisim tarihi 15 Ekim 2014 Prince Matthew 14 Ekim 2014 23 Mart 2016 tarihinde kaynagindan arsivlendi Erisim tarihi 15 Ekim 2014 OpenSSL 13 Agustos 2015 tarihinde kaynagindan arsivlendi Erisim tarihi 15 Ekim 2014 Dis baglantilar1076983 POODLE Padding oracle attack on SSL 3 0 28 Ekim 2014 tarihinde Wayback Machine sitesinde Mozilla Bugzilla Canakkale OnSekiz Mart Universitesi Bilgisayar Muhendisligi22 Ekim 2013 tarihinde Wayback Machine sitesinde