Pull to refresh
  • by relevance
  • by date
  • by rating

Сертификаты Let's Encrypt обрели официальную поддержку

Information Security
image

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views8.9K
Comments 5

Rutracker перешёл на HTTPS

Information Security

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views19.8K
Comments 55

Казахстан внедряет свой CA для прослушивания всего TLS-трафика, продолжение

Information Security
В 2015 и 2016 годах были новости о том, что Казахстан внедряет сертификат для прослушивания HTTPS-траффика. Об этом писали в новостях и на Хабре.

Сегодня, 18 июля 2019 года, многим пользователям мобильной связи разослали различные СМС и оповещения схожего содержания:
В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев, был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз.

В соответствии с Законом РК «О связи» и п.11 «Правил выдачи и применения сертификата безопасности» Компания информирует абонентов о необходимости установки «Сертификата безопасности» на устройствах с доступом в Интернет. Согласно требованиям Законодательства, операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.

В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным Интернет-ресурсам
Читать дальше →
Total votes 40: ↑25 and ↓15 +10
Views12.3K
Comments 8

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

GlobalSign corporate blogDomain names administratingInterfacesServer AdministrationBrowsers


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views11.7K
Comments 36

Microsoft реализует DoH в будущих выпусках Windows 10

Information SecurityNetwork technologiesDNSNetwork standardsDevelopment for Windows
image

Microsoft внедрит в будущие версии Windows 10 протокол «DNS поверх HTTPS» (DNS over HTTPS, DoH). Кроме того, станет доступен протокол «DNS поверх TLS» (DNS over TLS, DoT).

Таким образом компания хочет усилить защиту приватности пользователей путем шифрования всех их DNS-запросов.

DoH и DoT
Первый позволяет выполнять разрешение DNS поверх зашифрованного HTTPS-соединения. Второй шифрует и «упаковывает» DNS-запросы через протокол Transport Layer Security (TLS).

«Мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS», — заявили в Microsoft.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views10.7K
Comments 14

Google запретит загрузку файлов по протоколу HTTP в Chrome 86 в октябре

Information SecurityGoogle ChromeBrowsers
imageФото: www.bleepingcomputer.com

Google в рамках усиления политики безопасности в Chrome полностью перейдет на использование протокола HTTPS при загрузке файлов. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views13.9K
Comments 42

Google на время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS

Google ChromeBrowsers


3 апреля 2020 года Джастин Шух (Justin Schuh), директор отдела Chrome Engineering, сообщил в корпоративном блоге Chromium Blog о том, что Google на неопределенное время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views7.2K
Comments 11

Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

Information SecurityNetwork technologiesNetwork hardware
image

Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views8.8K
Comments 11

Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

Information SecurityDomain names administratingServer AdministrationBrowsers
image

С 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla перестанут принимать новые сертификаты TLS, срок службы которых превышает 398 дней. Объединение центров сертификации CA/B Forum выступало против этого шага.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views8.9K
Comments 28

«Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI

Information SecurityIT InfrastructureNetwork technologiesLegislation in IT


Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
Читать дальше →
Total votes 55: ↑53 and ↓2 +51
Views42K
Comments 222

В Firefox 83 внедрили режим «только HTTPS»

FirefoxBrowsers
image

Mozilla выпустила версию Firefox 83.0. В ней появился новый режим «только HTTPS», повысилась производительность движка SpiderMonkey JavaScript, а также внедрена совместимость с новыми Apple Mac на чипах M1.
Читать дальше →
Total votes 37: ↑36 and ↓1 +35
Views17.1K
Comments 141

Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку

Information SecurityCryptographyLegislation in IT
image

Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).
Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Views13.8K
Comments 75

Cloudflare, Apple и Fastly объявили о создании нового протокола DNS

Information SecurityNetwork technologiesDNS
image

Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views9.4K
Comments 15

Разработчики Chrome внедряют принудительное открытие сайтов через HTTPS

Дата-центр «Миран» corporate blogInformation SecurityWebsite developmentGoogle ChromeBrowsers

Один из членов команды разработки Google Chrome, Эмили Старк, сообщила через Твиттер, что в бета-сборку Chrome Canary, а также в Dev-версию браузера будет добавлен экспериментальный флаг "#omnibox-default-typed-navigations-to-https".

Для указанных сборок флаг "#omnibox-default-typed-navigations-to-https" будет включен по умолчанию. Также новая функция будет добавлена в выпуск 89, релиз которого намечен на завтра, 02.03.2021 г.

Читать далее
Total votes 10: ↑9 and ↓1 +8
Views8.3K
Comments 10

Браузер Chrome начал по умолчанию добавлять https:// ко всем адресам

ITSumma corporate blogInformation SecurityGoogle ChromeIT StandardsBrowsers


Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views11.4K
Comments 29

WebMoney передает файлы с гарантией доставки

Lumber room
Платежная система WebMoney объявила о запуске нового сервиса WebMoney.files, который позволит пользователям обмениваться файлами.

Услуга WebMoney.files, в отличие от обычной отправки файла в виде приложения к электронному письму, позволяет удостовериться в том, что послание действительно доставлено адресату. Отправка и получение файлов производятся по шифрованному протоколу HTTPS с предварительной проверкой на вирусы.

Отправитель посылает файл на WMID-идентификатор получателя в системе WebMoney. В свою очередь, адресат получает ссылку на файл. Отправитель может не только увидеть, скачал ли адресат файл, но и продлить срок, в течение которого он будет доступен, а также отозвать его обратно.
Rating 0
Views344
Comments 8

Проблема с сессиями аутентификации

Website development
Привет всем,

Уделите мне, пожалуйста, всего пару минут своего времени и можете заниматься своими делами дальше.

Если вы пользуетесь браузером Mozilla Firefox (при этом, не используя прокси), зайдите по ссылке, очистите сессии аутентификации (для этого нужно нажать Ctrl + Shift + Del, поставить флажок на Сессии аутентификации и нажать Удалить сейчас), откройте новую вкладку в браузере и попробуйте зайти по этой ссылке еще раз. Второй раз эта ссылка уже не откроется.

P.S. Уже заминусовали. Ну – спасибо.

Читать дальше →
Total votes 23: ↑15 and ↓8 +7
Views2.5K
Comments 4

Беспечность

Information Security
«[Про SSL/TSL, PGP/GPG] Пустой звук. Я даже не знаю — что это. Да и не интересно знать» хабравчанин.


Вот так шутили над беспечными пользователями Wi-Fi на Chaos Constructions.

P.S.: Спасибо Zhilinsky за информацию в своем блоге.
Total votes 102: ↑87.5 and ↓14.5 +73
Views1.2K
Comments 65

The Middler: программа для взлома незащищённых аккаунтов Gmail

Information Security
На хакерской конференции Defcon был показана программа The Middler (с открытыми исходниками, написана на Ruby) для автоматического сбора аккаунтов у пользователей Gmail, которые не включили у себя в настройках функцию всегда использовать защищённое соединение (“Always use https”).



Кстати, программа подходит не только для Gmail, но и для других сервисов, которые используют HTTPS только для аутентификации, а потом не защищают сессию. На хакерской конференции был успешно произведён демонстрационный взлом одного из онлайн-банков, сервисов LinkedIn, LiveJournal и Facebook, вмешательство в процесс апдейта программного обеспечения на ПК и iPhone и внедрение вредоносного Javascript прямо в сессии браузера во время сёрфинга по безопасным сайтам.

The Middler не только автоматически анализирует сетевой трафик и находит в нём кукисы, но и самостоятельно запрашивает кукисы со стороны клиента, то есть процесс автоматизирован по максимуму. Программа гарантирует сбор всех незащищённых аккаунтов в компьютерной сети (или публичном хотспоте), к трафику которой она имеет доступ.
Читать дальше →
Total votes 175: ↑158.5 and ↓16.5 +142
Views11.5K
Comments 87

Топик-перевод

Habr
Появилась необходимость подправить свой старый топик-перевод. В конце него есть поле «Ссылка на оригинал». При сохранении статьи выдало:
Ошибка: Ссылка введена неверно
Причем, до редактирования, ссылка такая и была. Стоило сменить https на http, как все сохранилось, но ссылка теперь неверная. Предлагаю добавить https в список разрешенных ссылок.
Total votes 6: ↑6 and ↓0 +6
Views529
Comments 2