এসএসএল 3.0 এর বিরুদ্ধে জটিল 'পিডেল' আক্রমণের জন্য ফিক্স ইন্টারনেট এক্সপ্লোরার 6 এর জন্য ওয়েব ভেঙ্গে ফেলতে পারে।

গুগল গবেষকরা একটি অপ্রচলিত কিন্তু এখনও ব্যবহৃত এনক্রিপশন সফটওয়্যারে একটি গুরুতর ত্রুটি খুঁজে পেয়েছে, যা সংবেদনশীল তথ্য চুরি করার জন্য শোষিত হতে পারে- এবং ফিক্স ওয়েবকে ছিন্ন করতে পারে পুরোনো ওয়েব ব্রাউজার ব্যবহারকারী।

এসএসএল 3.0 এর ত্রুটি 15 বছরের বেশি বয়সী কিন্তু আধুনিক ওয়েব ব্রাউজার এবং সার্ভারগুলি দ্বারা এখনও ব্যবহৃত হয়। এসএসএলটি "সিকিউর সকেটস লেয়ার" এর জন্য ব্যবহৃত হয়, যা ক্লায়েন্ট এবং সার্ভারের মধ্যে তথ্য এনক্রিপ্ট করে এবং ইন্টারনেটের মাধ্যমে পাঠানো বেশিরভাগ ডেটা নিরাপদ করে।

গুগল এর থাই ডৌং এবং ক্রিজিসটফ কোতোয়েজ "পিডেল" নামক একটি আক্রমণকে বিকশিত করে। তাদের গবেষণামূলক কাগজ অনুযায়ী, ডাউনগ্রেড লেগাসি এনক্রিপশনে প্যাডিং ওরাকল।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

ওয়েব ব্রাউজারটি এসএসএল বা টিএলএস (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) এর নতুন সংস্করণ ব্যবহার করার জন্য ডিজাইন করা হয়েছে, তবে সর্বাধিক ব্রাউজারগুলি SSL 3.0 এর সাথে মিটমাট করা হবে যদি সার্ভারটি অন্য প্রান্তে করতে পারে।

POODLE আক্রমণটি "ফলোব্যাক" থেকে SSL 3.0 তে সংযোগ স্থাপন করতে পারে, যেখানে কুকিজ চুরি করা সম্ভব, যা ছোট ডেটা ফাইল যা অনলাইন পরিষেবাতে স্থায়ী অ্যাক্সেস সক্ষম করে। যদি চুরি করা হয়, কুকিটি একজন আক্রমণকারীকে ওয়েব-ভিত্তিক ইমেল অ্যাকাউন্টে অ্যাক্সেসের অনুমতি দিতে পারে, উদাহরণস্বরূপ।

একজন আক্রমণকারীকে এই ধরনের মান-ইন-দ্য- মাঝারি আক্রমণ এটি একটি পাবলিক এলাকায়, যেমন একটি এয়ারপোর্টে একটি Wi-Fi নেটওয়ার্কে সম্ভাব্য হতে পারে।

লেগ্যাসির উদ্বেগ

সিকিউরিটি বিশেষজ্ঞ দীর্ঘক্ষণ SSL 3.0 পরিচিত ছিলেন সমস্যাযুক্ত জনস হপকিন্স বিশ্ববিদ্যালয়ের ক্রিপ্টোগ্রাফার এবং গবেষণার অধ্যাপক ম্যাথিউ গ্রিন তার ব্লগে লিখেছেন যে অনেক সার্ভার এখনও এসএসএল 3.0 সমর্থন করে কারণ তারা ইন্টারনেট এক্সপ্লোরার 6 এর ব্যবহারকারীদের তালাবদ্ধ করতে চায় না, এটি একটি অত্যন্ত তারিখযুক্ত কিন্তু এখনও ব্যবহৃত ব্রাউজার।

" সুস্পষ্ট সমাধান সঙ্গে সমস্যা হল যে আমাদের বার্ধক্য ইন্টারনেট পরিকাঠামো এখনও crappy ব্রাউজার এবং SSLv3 সমর্থন ছাড়া কাজ করতে পারে না সার্ভারের সাথে লোড হয়, "সবুজ লিখেছেন।

" ব্রাউজার বিক্রেতা তাদের গ্রাহকদের একটি ফাঁকা দেওয়াল আঘাত করতে চান না যে কোনও সময়ে তারা একটি সার্ভার বা লোড ব্যালান্সার অ্যাক্সেস করে যা শুধুমাত্র SSLv3 সমর্থন করে, তাই তারা ফাঁকফোকর সক্ষম করে। "

Google ইতিমধ্যে SSL এবং TLS এর কম নিরাপদ সংস্করণ ব্যবহার করে এনক্রিপ্ট করা সংযোগগুলি বন্ধ করার জন্য পদক্ষেপ গ্রহণ করেছে।

অ্যাডাম Google এর ক্রোম ব্রাউজারে কাজ করে এমন ল্যাংলি তার ব্লগে লিখেছেন যে গুগল এর অবকাঠামোর সাথে ক্রোম ব্যবহার করে সংযোগগুলি "TLS_FALLBACK_SCSV" নামে একটি প্রক্রিয়া ব্যবহার করছে, যা ডাউনগ্রেডিং প্রতিরোধ করে।

"আমরা সার্ভার অপারেটরকে অনুরোধ করছি এবং অন্যান্য ব্রাউজারগুলিও এটি বাস্তবায়ন করতে পারে, "ল্যাংলি লিখেছেন। "এটি শুধু এই নির্দিষ্ট আক্রমণের বিরুদ্ধে সুরক্ষা দেয় না, এটি সাধারণভাবে ফাঁকিবাঁধা সমস্যা সমাধান করে।"

গুগল ক্রোমের জন্য একটি প্যাচ প্রস্তুত করছে যা সমস্ত সার্ভারের জন্য SSL 3.0 তে ফিরে আসার নিষেধ করবে, তবে "এই পরিবর্তনগুলি এবং তাই আমরা মনে করি না যে আমরা Chrome এর স্থিতিশীল চ্যানেল এটি সরাসরি জুড়ে পারেন। কিন্তু আমরা আশা করি আমরা কয়েক সপ্তাহের মধ্যে এটি পেতে পারি এবং তাই ক্ষতিকারক সার্ভারগুলি যে বর্তমানে শুধুমাত্র SSL 3.0 ফিলেব্যাকের কারণে কাজ করে। আপডেট করতে হবে "।

প্রধান ইন্টারনেট কোম্পানিগুলি ইতিমধ্যেই একটি পিডলে আক্রমণ প্রতিরোধে সমন্বয় সাধন করছে। ক্লাউডফ্লেয়ার, যা ব্যাপকভাবে ব্যবহৃত ক্যাশে পরিষেবা রয়েছে, তার গ্রাহকদের জন্য ডিফল্টভাবে SSL 3.0 অক্ষম করেছে, সিইও মেথিউ প্রিন্স লিখেছেন।

"এর কিছু পুরোনো ব্রাউজারের উপর প্রভাব ফেলবে, যার ফলে SSL সংযোগের ত্রুটি , "প্রিন্স লিখেছেন। "সবচেয়ে বড় প্রভাব ইন্টারনেট এক্সপ্লোরার 6 উইন্ডোজ এক্সপি বা পুরোনোতে চলছে।"

প্রিন্স লিখেছেন যে ক্লাউডফ্লেয়ারের নেটওয়ার্কের মাত্র 0.65 শতাংশ HTTPS এনক্রিপ্টেড ট্রাফিক SSL 3.0 ব্যবহার করে। "ভাল খবর হল ট্রাফিক বেশিরভাগই আসলে ট্র্যাফিক এবং কিছু ক্ষুদ্র ক্রলার আক্রমণ করে।"