解决针对SSL 3.0的关键'POODLE'攻击可能会中断Internet Explorer 6的网络

Google的研究人员发现了一个过时但仍然使用的加密软件的严重缺陷，该软件可能被利用来窃取敏感数据 - 并且修复程序可能会破坏Web旧版网页浏览器的用户

SSL 3.0中的缺陷已超过15年，但仍被现代Web浏览器和服务器所使用。 SSL代表“加密套接字层”，它可以加密客户端和服务器之间的数据，并保护大部分通过互联网发送的数据。

Google的BodoMöller，Thai Duong和Krzysztof Kotowicz开发了一种名为“POODLE”的攻击，代表根据他们的研究报告，在降级传统加密时填充Oracle

[进一步阅读：如何从Windows PC删除恶意软件]

Web浏览器旨在使用SSL或TLS（传输层安全性）的新版本，但大多数浏览器都支持SSL 3.0，如果这是服务器可以在另一端执行的所有操作

POODLE攻击可以强制连接到SSL 3.0的“后备”，然后可以窃取cookie，这些cookie很小数据文件，使持久访问在线服务。例如，如果被盗，Cookie可能允许攻击者访问某人的基于Web的电子邮件帐户。

攻击者必须控制受害者连接到的网络，才能进行这种人为操作，中间进攻。这可能在公共场所，比如通过机场的Wi-Fi网络。

遗留问题

安全专家早就知道SSL 3.0存在问题。约翰霍普金斯大学的密码学家和研究教授马修格林在他的博客中写道，许多服务器仍然支持SSL 3.0，因为他们不想锁定Internet Explorer 6的用户，这是一个非常过时但仍然使用的浏览器。这个显而易见的解决方案的问题在于，我们老旧的互联网基础设施仍然装载着蹩脚的浏览器和服务器，这些服务器无法在没有SSLv3支持的情况下运行，“Green写道。”浏览器供应商不希望他们的客户打到空白的墙上只要他们访问只支持SSLv3的服务器或负载均衡器，他们就可以启用后备功能，“他写道，”Google已经采取措施阻止使用安全性较低的SSL和TLS版本进行加密连接。在Google的Chrome浏览器上工作的Langley在他的博客中写道，使用Chrome连接到Google的基础架构时，使用了一种名为“TLS_FALLBACK_SCSV”的机制，可以防止降级。“我们正在敦促服务器运营商和其他浏览器也要实现它，“兰利写道。 “它不仅可以抵御这种特定的攻击，它还可以解决一般的后备问题。”

谷歌正在为Chrome准备一个补丁程序，该补丁程序将禁止所有服务器退回到SSL 3.0，但“这种改变会破坏东西所以我们不觉得我们可以直接跳到Chrome的稳定渠道。但我们希望能够在几周内得到它，所以目前只有SSL 3.0后备功能的服务器才需要更新。“

大型互联网公司已经在进行调整以防止POODLE攻击。拥有广泛使用的缓存服务的CloudFlare默认为其所有客户在其网络上禁用了SSL 3.0，“这会对一些旧浏览器产生影响，导致SSL连接错误，“王子写道。 “最大的影响是在Windows XP或更低版本上运行Internet Explorer 6.”Prince写道，在CloudFlare的网络上，只有0.65％的HTTPS加密流量使用SSL 3.0。 “好消息是，大部分流量实际上是攻击流量和一些小爬虫，”他写道，“