Google 美國時間周二披露了一個存在于 SSL 3.0 版本當中的安全隱患,和此前的心臟出血漏洞機制類似,允許黑客使用特殊的手段,從 SSL 3.0 覆蓋的安全連接下提取到一定字節長度的隱私信息。
SSL 3.0 已經存在 15 年之久,目前絕大多數瀏覽器都支持該版本。當用戶的瀏覽器使用更新版本的安全協議與服務器進行連接,如果遇到 bug 導致連接失敗,會轉而嘗試更老版本的安全協議進行連接,「更老版本」就包括有 SSL 3.0。也即意味著,黑客完全有能力在攻擊一個服務器/單一用戶的時候故意制造連接失敗的情況,觸發瀏覽器的機制使用 SSL 3.0,并且從中獲取用戶/服務器端的關鍵信息。
Google 安全團隊在聲明中表示,在目前 SSL 支持方 OpenSSL 基金會在沒有給出解決方案的前提下,Google Chrome 瀏覽器已經支持通過技術手段屏蔽掉瀏覽器回落到 SSL 3.0 進行連接的功能。
安全技術專家 Adam Langley 在自己的博客中給出了用戶手動關閉掉 SSL 3.0 支持的方法。
Chrome 瀏覽器——使用命令行工具來關閉掉支持。
Windows 用戶:
1)完全關閉 Chrome 瀏覽器
2)復制一個平時打開 Chrome 瀏覽器的快捷方式
3)在新的快捷方式上右鍵點擊,進入屬性
4)在「目標」后面的空格中字段的末尾輸入以下命令 --ssl-version-min=tls1
Mac OS X 用戶:
1)完全關閉 Chrome 瀏覽器
2)找到本機自帶的終端(Terminal)
3)輸入以下命令:/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --ssl-version-min=tls1
Linux 用戶:
1)完全關閉 Chrome 瀏覽器
2)在終端中輸入以下命令:google-chrome—ssl-version-min=tls1
Firefox 瀏覽器用戶可以進入 關于:設置,方法是在地址欄輸入 about:config,然后將 security.tls.version.min 調至 1。
京公網安備 11010502049343號