Nach Heartbleed und BEAST haben Google-Entwickler jetzt einen weiteren Angriff auf das SSL-Protokoll veröffentlicht. Dieser Angriff macht es sich zunutze, dass Server als Alternative für die neueren SSL-Standards in der Voreinstellung auf den 15 Jahre alten SSL V3 Standard ausweichen. Als Nutzer kann man sich davor leicht schützen.
Vorsicht geboten
Poodle wird dadurch so gefährlich, dass ein Angreifer dich unbemerkt dazu zwingen kann, für deine Internet-Aktivitäten nur noch den SSL V3 Standard mit den Servern auszuhandeln. Einmal ausgehandelt kann er sich dann Schwachstellen in SSL V3 zunutze machen, um deine Daten zu entschlüsseln, mitzulesen oder auch zu manipulieren. Aus diesem Grund wird auch seit geraumer Zeit zur aktiven Deaktivierung von SSL V3 auf Servern geraten.
Wie du dich schützt
Du kannst deinen Browser so einstellen, dass er keine SSL V3 Verbindungen mehr zulässt. Dazu musst du im Chrome die Verknüpfung bearbeiten, die du nutzt um Ihn zu starten. Ich habe dazu die Verknüpfung in meiner Taskleiste genommen. In den Eigenschaften der Verknüpfung gehst du dann in das Eingabefeld „Ziel“ und hängst an hintern Pfad, nach einem Leerzeichen folgendene Parameter an.
'--ssl-version-min=tls1'
Im Firefox
Für den Firefox wurde bereits ein Plugin veröffentlicht, mit dem du die minimale SSL Version für eine Verbindung festlegen kannst. Im November wird mit dem Firefox Update SSL V3 Standardmäßig deaktiviert sein. Das Plugin SSL Version Control 0.1 ist von Mozilla selbst und lässt sich über die Browser-Plugin-Verwaltung direkt hinzufügen.
Fazit
Poodle macht wieder mal darauf aufmerksam, wie gefährlich das Nutzen veralteter Standards ist und bleibt. Es ist zudem davon auszugehen, dass die anderen großen Browser-Hersteller, wie Mozilla es für den Firefox bereits ankündigte, die Möglichkeit einer SSL V3 Verbindung mit dem nächsten Update entfernen werden. Dennoch solltest du gerade bei Geräten wie einen Laptop auch in öffentlichen Netzwerken vorsichtig im Umgang mit sensiblen Daten sein.