Internetexperts vrezen POODLE-lek
De naam klinkt vrij onschuldig: POODLE. De afkorting voor Padding Oracle On Downgraded Legacy Encryption houdt sinds gisteren echter op internet de gemoederen bezig, want het is de naam van een ernstig lek in versleuteling van internetverkeer via versie 3.0 van het zogeheten Secure Socket Layer-protocol.
Veel browsers gebruiken nu het modernere Transport Layer Security (SSL 3.0 is al 15 jaar oud, red.) maar uit compatibliteitsoverwegingen ondersteunen browsers en sites SSL 3.0 nog wel. Het probleem ligt erin dat kwaadwillenden browsers kunnen dwingen om terug te vallen op SSL 3.0.
Gebruikers merken daar weinig van, maar het geconstateerde lek is zo ernstig, dat de versleuteling compleet omzeild wordt. Informatie is daarmee door derden te lezen, zelfs over een vermeend beveiligde verbinding. Veel sites zijn zo opgezet dat SSL 3.0 niet zomaar kan worden verwijderd, zonder dat er problemen optreden. Eindgebruikers kunnen op dit moment niet veel doen behalve publiek wifi te mijden (of er daar in ieder geval niet in te loggen op bank- of sociale mediasites).
Eerder dit jaar werd het internet ook al opgeschrikt door andere grote lekken, onder meer Heartbleed en Shellshock. Meer bij CNet / Daniel Franke / Tweakers / POODLE-test