Google 披露 SSL 3.0 安全漏洞(附修复方法)
Google 美国时间周二披露了一个存在于 SSL 3.0 版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。
SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。当用户的浏览器使用更新版本的安全协议与服务器进行连接,如果遇到 bug 导致连接失败,会转而尝试更老版本的安全协议进行连接,「更老版本」就包括有 SSL 3.0。也即意味着,黑客完全有能力在攻击一个服务器/单一用户的时候故意制造连接失败的情况,触发浏览器的机制使用 SSL 3.0,并且从中获取用户/服务器端的关键信息。
Google 安全团队在声明中表示,在目前 SSL 支持方 OpenSSL 基金会在没有给出解决方案的前提下,Google Chrome 浏览器已经支持通过技术手段屏蔽掉浏览器回落到 SSL 3.0 进行连接的功能。
安全技术专家 Adam Langley 在自己的博客中给出了用户手动关闭掉 SSL 3.0 支持的方法。
Chrome 浏览器——使用命令行工具来关闭掉支持。
Windows 用户:
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 –ssl-version-min=tls1
Mac OS X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google Chrome.app/Contents/MacOS/Google Chrome –ssl-version-min=tls1
Linux 用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1
Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
相关文章
- 5条评论
痴妓任谁2022-06-12 10:41:30- 接,「更老版本」就包括有 SSL 3.0。也即意味着,黑客完全有能力在攻击一个服务器/单一用户的时候故意制造连接失败的情况,触发浏览器的机制使用 SSL 3.0,并且从中获取用户/服务器端的关键信息。
野欢遐迩2022-06-12 16:28:35- 家 Adam Langley 在自己的博客中给出了用户手动关闭掉 SSL 3.0 支持的方法。 Chrome 浏览器——使用命令行工具来关闭掉支持。 Windows 用户: 1)完全关闭 Chrome 浏览器 2)复制一个平时打开 Chrome 浏览器的快捷方式 3)
末屿卿绡2022-06-12 16:52:43- 能。 安全技术专家 Adam Langley 在自己的博客中给出了用户手动关闭掉 SSL 3.0 支持的方法。 Chrome 浏览器——使用命令行工具来关闭掉支持。 Windows 用户: 1)完全关闭 Chrome 浏览器 2)复制一个平时打开 Chrome
美咩慵挽2022-06-12 16:05:50- 浏览器的快捷方式 3)在新的快捷方式上右键点击,进入属性 4)在「目标」后面的空格中字段的末尾输入以下命令 –ssl-version-min=tls1 Mac OS X 用户: 1)完全关闭 Chrome 浏览器 2)找到本机自带的终端(Terminal) 3
双笙青朷2022-06-12 13:24:23- Google 美国时间周二披露了一个存在于 SSL 3.0 版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。 SSL 3.0 已经存在 15
滇ICP备19002590号-1