SSLv3“（贵宾犬）POODLE”高危漏洞 做好安全防护

10月15日，知名加密协议SSLv3曝出名为“（贵宾犬）POODLE”的高危漏洞(漏洞编号CVE-2014-3566)，可导致网络中传输的数据被黑客监听，使用户的敏感信息、网络账号和银行账户被盗。据Google发布的关于SSLv3漏洞的简要分析报告指出，该漏洞贯穿于所有的SSL v3版本中。

据了解，SSLv3是一款较为古老的加密传输协议，已投入使用超过15年，目前绝大多数浏览器都支持该版本，同时多数网站都兼容SSLv3，因此本次漏洞的影响范围极大。

安全专家介绍，该漏洞影响所有Windows版本，其中IE、Firefox、Chrome等浏览器用户在使用免费WiFi以及安全级别较低的路由器时极易遭到攻击。黑客可利用“POODLE”漏洞劫持用户与网站之间传输的数据，窃取用户名、密码等敏感信息。此外，攻击者还可随意篡改用户接收到的信息，甚至向传输数据中植入恶意代码，进而对用户进行钓鱼、挂马等一系列攻击。届时，用户的网络账密、银行账号、机密文件以及隐私信息都将面临泄露的风险。

SSLv3“贵宾犬攻击”的一个重要手段是基于ARP欺骗的中间人攻击，触发条件是通信两端均使用SSLv3进行安全传输。提醒各位用户朋友们在漏洞得到修复前，在各自的浏览器、服务器中最好暂时关闭对SSL3.0协议的支持。同时，建议网民不要连接使用陌生人的WiFi，更不要在非可信网络中使用网银等重要服务，注意做好安全防护措施。

浏览器禁用SSLv3的设置方法。
1、IE/360安全浏览器
1）点击浏览器右上角的“工具”选项，选择“Internet选项”
2）选择“高级”
3）找到“使用SSL3.0”的设置，将方框里的“勾”去掉
4）点击“确定”保存

360极速浏览器设置方法：
1) 点击浏览器右上角工具栏的“小扳手”(自定义和控制360极速浏览器)，选择“选项”
2) 点击“高级设置”，找到“网络”模块，点击“更改代理服务器设置”
3) 找到“使用SSL3.0”的设置，将方框里的“勾”去掉
4) 点击“确定”保存

2、Chrome浏览器
Windows系统用户设置方法：
1）完全关闭 Chrome 浏览器
2）复制一个平时打开 Chrome 浏览器的快捷方式
3）在新的快捷方式上右键点击，进入属性
4）在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1
Mac OS X系统用户设置方法：
1）完全关闭 Chrome 浏览器
2）找到本机自带的终端（Terminal）
3）输入以下命令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
Linux系统用户设置方法：
1）完全关闭 Chrome 浏览器
2）在终端中输入以下命令：google-chrome—ssl-version-min=tls1

3、Firefox 浏览器用户可以进入“关于:设置”，方法是在地址栏输入 about:config，然后将 security.tls.version.min 调至 1。

HSTS较为安全

我们都知道HTTPS确实很厉害，但却有很多细枝末节可以迫使浏览器退回到纯文本的HTTP。一个过时的锚点（anchor），一个难以清除的浏览器缓存或者一个恶意的第三方插件都可能成为罪魁祸首。幸运的是，当前的浏览器都采用了一种标准，允许服务器告知浏览器是否所有的Web流量都要通过一个安全连接。HSTS是一个简单头部，每次客户端发起请求时，服务器都会提供HSTS。该头部指示客户端应该无条件拒绝和特定域名建立不安全的HTTP链接要持续多长时间。

强密码

密码能够实现加密和消息身份的功能。如果密码被判定为脆弱的或容易受到攻击的话，它的实用性就会大打折扣。不幸的是，必须在“一组足够安全的且可用的密码”和“一组用户浏览器所支持的密码”之间维持一个平衡。