Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Гляди в оба: как не выставить наружу прокси для внутренних сервисов

Блог компании ФлантИнформационная безопасностьСистемное администрированиеСетевые технологии


Распределенные атаки типа DDoS весьма популярны. Зачастую для защиты от них используются сервисы вроде Cloudflare, позволяющие «поглотить» поток вредного трафика. Но даже применение дополнительных механизмов защиты в них (например, режима «I'm Under Attack» в сочетании с белым списком для упомянутого сервиса) не поможет, когда вы допустили неосторожность и, сами того не заметив, раскрыли всему миру свой IP-адрес. О случае из жизни и о том, как не допустить подобного (и, соответственно, ненужных DDoS-атак), — читайте под катом.
Читать дальше →
Всего голосов 38: ↑38 и ↓0 +38
Просмотры6.8K
Комментарии 4

Проблема устаревших корневых сертификатов. На очереди Let's Encrypt и умные телевизоры

Блог компании Дата-центр «Миран»Информационная безопасностьСерверное администрированиеГаджетыИнтернет вещей


Чтобы браузер мог аутентифицировать веб-сайт, тот представляет себя действительной цепочкой сертификатов. Типичная цепочка показана сверху, в ней может быть больше одного промежуточного сертификата. Минимальное количество сертификатов в действительной цепочке равно трём.

Корневой сертификат — сердце центра сертификации. Он буквально встроен в вашу ОС или браузер, он физически присутствует на вашем устройстве. Его не поменяешь со стороны сервера. Нужно принудительное обновление ОС или встроенного ПО на устройстве.

Специалист по безопасности Скотт Хельме (Scott Helme) пишет, что основные проблемы возникнут у центра сертификации Let's Encrypt, потому что сегодня это самый популярный ЦС в интернете, а его корневой сертификат скоро «протухнет». Смена корня Let's Encrypt назначена на 8 июля 2020 года.
Читать дальше →
Всего голосов 37: ↑37 и ↓0 +37
Просмотры21.5K
Комментарии 56

Защищённые прокси — практичная альтернатива VPN

FirefoxИнформационная безопасностьGoogle ChromeСетевые технологииСофт
🔥 Технотекст 2020 🔥 Технотекст 2020

В интернете есть достаточное количество информации по теме шифрования и защиты трафика от вмешательств, однако сложился некоторый перекос в сторону различных VPN-технологий. Возможно, отчасти он вызван статьями VPN-сервисов, которые так или иначе утверждают о строгом превосходстве VPN-решений перед прокси. При этом многие решения тех же VPN-провайдеров, не смотря на маркетинговое позиционирование в качестве VPN, технически являются прокси.

На практике прокси больше подходят для повседневной защиты веб-трафика, не создавая при этом неудобств в виде заметной потери скорости и неизбирательности туннелирования. То есть при использовании хорошего прокси не стоит необходимость его отключать для комфортного пользования интернетом.

В этой статье расказано о преимуществах защищённого прокси перед VPN и предложены различные реализации, готовые к использованию.
Читать дальше →
Всего голосов 29: ↑28 и ↓1 +27
Просмотры27.2K
Комментарии 52

Как защитить свой публичный сайт с ESNI

Блог компании ExnessFirefoxИнформационная безопасностьDNSGo
Привет Хабр, меня зовут Илья, я работаю в платформенной команде компании Exness. Мы разрабатываем и внедряем базовые инфраструктурные компоненты, которые используют наши продуктовые команды разработки.

В этой статье я бы хотел поделиться опытом внедрения технологии encrypted SNI (ESNI) в инфраструктуре публичных веб-сайтов.


Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры7.7K
Комментарии 27

Введение в TLS для п̶р̶а̶к̶т̶и̶к̶о̶в̶ Патриков (часть 2)

Блог компании PleskИнформационная безопасностьIT-стандарты
Сегодня мы продолжаем разбираться, как устроен TLS и чем он может быть полезен Патрику и его друзьям. Первую часть истории можно прочитать тут.

Мы остановились на том, что сервер отправил свою часть TLS-handshake клиенту. Теперь клиент должен прежде всего проверить сертификаты – и это самая тяжелая из вещей, которые ему обязательно надо сделать.



Certificate verification: chain


Возможно, вы обратили внимание на формулировку: посылается не сертификат, а сертификаты – сейчас станет понятно, почему (в общем-то, догадаться нетрудно).



Итак, поехали!
Всего голосов 10: ↑10 и ↓0 +10
Просмотры7.3K
Комментарии 7

Chrome тоже ограничивает время жизни TLS-сертификатов 13 месяцами

Блог компании GlobalSignИнформационная безопасностьКриптографияСерверное администрированиеБраузеры
Разработчики проекта Chromium внесли изменение, которое устанавливает максимальный срок жизни TLS-сертификатов в 398 дней (13 месяцев).

Условие действует для всех публичных серверных сертификатов, выданных после 1 сентября 2020 года. Если сертификат не соответствует этому правилу, браузер будет отвергать его как недействительный, а конкретно отвечать ошибкой ERR_CERT_VALIDITY_TOO_LONG.

Для полученных до 1 сентября 2020 года сертификатов доверие будет сохранено и ограничено 825 днями (2,2 года), как сегодня.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры4.7K
Комментарии 64

Россия в десятке стран по количеству валидных SSL

Блог компании GlobalSignИнформационная безопасностьКриптография
Cтарейший удостоверяющий центр, ведущий поставщик надежных решений идентификации и безопасности GlobalSign и крупнейший в России хостинг-провайдер и регистратор доменов REG.RU представили данные о лидирующих странах-пользователях SSL-сертификатов, о том, как менялся мировой рынок в момент пандемии коронавируса и о других трендах отрасли.

В последние годы компании по всему миру продолжают всё больше инвестировать в свою информационную безопасность. Наблюдается зависимость коммерческого успеха от правильного и безопасного размещения данных в сети. Переход на удалённую работу заставляет фирмы обращать внимание на используемые инструменты информационной безопасности. Естественно, что растёт и рынок SSL-безопасности: происходит количественный и качественный рост тех компаний, которые переводят свои сайты и серверы на безопасное HTTPS-соединение.
Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры2.6K
Комментарии 2

Повышаем безопасность микросервисов с Istio

Блог компании ExnessIT-инфраструктураDevOpsМикросервисыKubernetes
Всем привет! Меня зовут Илья, я работаю DevOps-инженером в команде разработки. Мы активно используем микросервисный подход, и, из-за специфики нашей работы, для нас важна безопасность межсервисного взаимодействия. В этой статье я хочу описать принцип работы Istio и на примере показать, как использовать некоторые ее возможности по обеспечению безопасности. Надеюсь, это окажется полезным для решения ваших задач. Приятного чтения!


Читать дальше →
Рейтинг 0
Просмотры2.2K
Комментарии 0

Почему удостоверяющие центры не соблюдают требование CA/Browser к сертификатам

Блог компании GlobalSignИнформационная безопасностьСерверное администрированиеБраузеры
Ежегодно форум CA/Browser обновляет базовые требования к серверным SSL/TLS-сертификатам (Baseline Requirements или BR).

Одно из таких требований указано в пункте 4.9.9 с пометкой MUST:

Ответы по OCSP (протокол статуса онлайн-сертификатов) ДОЛЖНЫ соответствовать RFC 6960 и/или RFC 5019. OCSP ответы ДОЛЖНЫ либо:

  1. Иметь подпись УЦ, выдавшим сертификаты, чей статус отзыва проверяется, или
  2. Иметь подпись OCSP Responder, сертификат которого подписан УЦ, выдавшим сертификаты, чей статус отзыва проверяется

В последнем случае подписывающий сертификат OCSP ДОЛЖЕН содержать расширение типа id-pkix-ocsp-nocheck, как прописано в RFC 6960.

Именно это правило нарушают практически все удостоверяющие центры (УЦ), что имеет некоторые последствия.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры3.5K
Комментарии 0

Российские госсайты: иллюзия безопасности

Информационная безопасность
image

В 2016 году мы задались вопросом: сколько сайтов федеральных органов власти поддерживают HTTPS? Мы узнали, вы готовы? Фактически – 2 (прописью: два, Карл!) сайта из 85. Формально – 32 поддерживали, т.е. на серверах был включен HTTPS, но дальше все упиралось в традиционное российское разгильдяйство: SSL-сертификат просрочен, самоподписан или вообще от другого сайта, соединение по HTTPS автоматически переключается на HTTP или переадресуется в админку сайта, веб-сервер уязвим к ROBOT, POODLE и прочим излишествам нехорошим, HTTPS-подключение только по SSL и прочий чад кутежа.

Поэтому, даже согласно нашим скромным критериям – действительный SSL-сертификат, поддержка TLS 1.2 и отказ от использования уязвимых или ненадежных криптоалгоритмов типа DH и RC4 – фактически HTTPS поддерживали только 2 сайта (напоминаю, из 85 обследованных).

Сегодня мы снова задались тем же вопросом, хотя и несколько ужесточив критерии, но даже при этом ситуация оказалась существенно лучше: 27 сайтов из 82 могут считаться реально поддерживающими HTTPS и еще 23 – условно поддерживают его. Условно в том смысле, что при определенных условиях, зависящих в большей степени от клиентской стороны: актуальная версия браузера, сконфигурирована по уму, ручками указали HTTPS – соединение защищено, не обеспечили чего-то из перечисленного – depends on.
Читать дальше →
Всего голосов 39: ↑38 и ↓1 +37
Просмотры19.1K
Комментарии 64

Потроха IPsec, меримся с TLS 1.3, ГОСТ и Go

Информационная безопасностьКриптографияGo
Приветствую! Очень хочется рассказать про устройство современного стэка IPsec протоколов ESPv3 и IKEv2. IPsec, как мне кажется, незаслуженно обходится многими стороной и детального разбора его работы, его протоколов и возможностей я не видел на русском языке. Кроме того, сделаю странное — сравню IPsec ESPv3 и IKEv2 (оба 2005-го года) с современным, модным, state-of-art TLS 1.3 2018-го года.


Почему я вообще так увлечён темой IPsec — возможно самого сложного стэка протоколов для защиты сетей? Ведь сложность это главный враг надёжности и безопасности! Во-первых, чем больше узнаёшь про его протоколы, особенно IKEv2, тем больше понимаешь как много возможностей в него закладывалось и впечатляешься его продуманностью, в отличии от распространённого подхода разработчиков «костыль костылём погоняет» и решением серьёзных проблем «пока гром не грянет». Во-вторых, IPsec протоколы хорошо продуманы с криптографической точки зрения и, даже старые ESP/IKEv1, фактически являются единственными промышленными массово используемыми протоколами в которых не было сколь либо серьёзных уязвимостей. Тот же SSL (1995-ый год) стал достойно продуманным только с версии 1.3. А нелюбовь к IPsec у многих связана с монструозной сложностью IKEv1, которой больше нет в v2.
Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры8.3K
Комментарии 12

Американский суд признал массовую слежку за гражданами незаконной — с опозданием на 7 лет

Блог компании GlobalSignИнформационная безопасностьЗаконодательство в ITСотовая связь


Спустя семь лет после того, как бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден сообщил о массовой слежке за телефонными записями американцев, Апелляционный суд девятого округа США признал эту программу незаконной, а также признал факты публичной лжи со стороны руководителей американской разведки.

В 59-страничном постановлении суд заявил, что массовый сбор и анализ метаданных о телефонных переговорах граждан нарушает Акт о негласном наблюдении за иностранными разведками (Foreign Intelligence Surveillance Act, FISA) и вполне может быть нарушать Конституцию.

Тем временем Эдвард Сноуден вынужден семь лет скрываться в России, а американские власти до сих пор не сняли с него обвинение в шпионаже.
Читать дальше →
Всего голосов 27: ↑25 и ↓2 +23
Просмотры12.6K
Комментарии 81

Об использовании жизни

Блог компании GlobalSignИнформационная безопасностьКриптографияOpen sourceСофт
Перевод

От создателя криптосервиса Tarsnap для резервного копирования


В недавней дискуссии на Hacker News комментатор задал вопрос:
Итак, что мы думаем о Tarsnap? Автор явно гений, который тратит время на резервные копии вместо того, чтобы решать задачи тысячелетия. Я говорю это с величайшим уважением. Может, соблазн предпринимательства — ловушка?
Сначала я хотел ответить в самом треде, но подумал, что тема заслуживает глубокого ответа, который прочитает больше людей, чем в середине обсуждения HN на сто с лишним комментариев.

Во-первых, разберёмся с философской стороной вопроса: да, это моя жизнь, и да, я могу её использовать — или тратить — как мне нравится. Но при этом нет ничего плохого в вопросе, как лучше всего потратить время. Это вдвойне верно, если речь идёт не только о моём личном выборе, но и о более широком вопросе: действительно ли наше общество структурировано таким образом, что побуждает людей приносить меньше пользы, чем они могли бы?
Читать дальше →
Всего голосов 27: ↑25 и ↓2 +23
Просмотры7.4K
Комментарии 2

Сайты региональных органов власти: всё ещё печальнее, чем у федералов

Информационная безопасностьАдминистрирование доменных имен
image

Вот мы и выпустили сводный доклад по итогам мониторинга сайтов высших органов власти регионов – «Надежность сайтов органов государственной власти субъектов Российской Федерации – 2020». Оценивали их с трех сторон: а) можно ли эти сайты считать официальными с точки зрения закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и как щедро сливают данные о своих посетителях третьим лицам?

По результатам исследования сайтов федеральных органов власти можно было догадаться, что на региональном уровне все окажется не лучше, но вот как и насколько, мы даже не догадывались.
Читать дальше →
Всего голосов 47: ↑45 и ↓2 +43
Просмотры13.9K
Комментарии 50

TCP BBR: быстрый и простой способ ускорения загрузки страниц. Доклад Яндекса

Блог компании ЯндексСерверная оптимизацияИнтерфейсыСетевые технологии
Современные протоколы прикладного уровня используют для ускорения передачи данных мультиплексирование, которое повышает требования к надёжности канала. На конференции YaTalks Александр Грянко phasma рассказал, как мы ускоряем загрузку страниц на каналах с большими потерями пакетов на примере протоколов HTTP/2 и TCP BBR.

— Привет. Я Саша, работаю в Яндексе, в последние три года занимаюсь разработкой L7-балансировщика нагрузки. Расскажу о быстром и простом способе ускорения сети. Мы начнем с седьмого уровня, HTTP, и опустимся к четвертому уровню, TCP. Сегодня мы поговорим только об этих двух уровнях и остановимся на них довольно подробно.

В последние восемь лет я занимаюсь больше бэкенд-разработкой, и, скорее всего, мои знания остались на уровне AngularJS первых версий. Вы, скорее всего, лучше меня знаете, как это все работает. Вы всё уже оптимизировали, всё сжали, и здесь я вам ничего посоветовать не смогу.

Но я могу вам посоветовать, как ускорить вашу сеть с помощью оптимизации самого сервера, самой операционной системы.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры3.4K
Комментарии 4

У Steam довольно любопытный способ логина

Информационная безопасностьИгры и игровые приставки
Перевод
image

Как передать пароль по Интернету? Обычно приобретается сертификат SSL, а TLS выполняет задачу безопасной перемещения пароля от клиента к серверу. Разумеется, всё не так сухо, как пытаюсь представить я, но в целом это так и подобный подход прошёл проверку временем. Однако так было не всегда, и один невероятно популярный онлайн-магазин предпочёл добавить к этому процессу что-то своё. В этой статье я расскажу об уникальном способе входа в систему пользователей Steam и исследую глубокую кроличью нору удивительных подробностей его реализации.

Выявляем очевидное


Я нашёл на StackOverflow датированный 2013 годом вопрос о том, как безопасно передавать пароль по HTTP. Ответы оказались достаточно единодушными: надо получить сертификат SSL. Проведите эксперимент: настройте любимый прокси перехвата трафика, зайдите в сервис, которым вы часто пользуетесь, выполните вход со своим аккаунтом (а лучше каким-нибудь одноразовым) и изучите результаты. С большой вероятностью вы увидите, что имя пользователя и пароль передаются в открытом виде в теле запроса HTTP. Единственная причина того, что это работает, заключается в том, что ваше соединение с сервером зашифровано при помощи TLS.
Читать дальше →
Всего голосов 43: ↑41 и ↓2 +39
Просмотры18K
Комментарии 31

Сервер Prometheus и TLS

Блог компании SouthbridgeСистемное администрированиеIT-инфраструктураСерверное администрированиеDevOps
Перевод


Prometheus теперь поддерживает TLS и базовую аутентификацию для HTTP эндпоинтов.


Скрейпинг таргетов через HTTPS вместо HTTP поддерживается уже давно. Метрики можно собирать с поддержкой HTTPS, аутентификации по клиентским сертификатам и базовой аутентификации.


В прошлом году Node Exporter стал первым официальным экспортером, который нативно предоставляет метрики по HTTPS. Все подробности в предыдущем посте. На этой неделе (прим. переводчика: статья вышла 6 января 2021 года) мы встречаем Prometheus 2.24.0. В последнее время Prometheus радует нас крутыми новшествами — это и TLS, и backfilling (обратное заполнение, тоже в версии 2.24) и даже переход на современный пользовательский интерфейс на React.


В этом посте мы расскажем о TLS и базовой аутентификации.

Читать дальше →
Всего голосов 23: ↑21 и ↓2 +19
Просмотры3.9K
Комментарии 1

GlobalSign выпустила первый в мире кроссплатформенный агент для управления сертификатами под Windows, macOS и Linux

Блог компании GlobalSignИнформационная безопасностьСерверное администрированиеDevOpsСофт


19 января 2021 года компания GlobalSign объявила о выходе AEG 6.4 — новой версии шлюза автоматической регистрации Auto Enrollment Gateway, вместе с которым представлена маленькая, но уникальная программка: кроссплатформенный агент для автоматической выдачи и управления сертификатами под Windows, Mac OS и Linux. Компания заявляет, что это первое такое предложение от любого удостоверяющего центра в мире.
Читать дальше →
Всего голосов 17: ↑12 и ↓5 +7
Просмотры3.4K
Комментарии 4

Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ

Блог компании Информационный центрИнформационная безопасностьЗаконодательство в IT

Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.

Речь пойдет о требовании ФСБ России шифровать любые персональные данные, передающиеся по сетям связи общего пользования (в народе – просто Интернет), только сертифицированными криптографическими средствами.

Читать далее
Всего голосов 71: ↑69 и ↓2 +67
Просмотры25.2K
Комментарии 92

Актуальные методы расшифровки TLS/SSL

Блог компании OTUSСетевые технологии

Шифрование — это наиболее популярный способ для защиты сетевого взаимодействия. Статья расскажет об актуальных методах расшифровки данных, которые передаются во время взаимодействия с web-приложениями. Будут рассмотрены примеры расшифровки в зависимости от стартовых условий (наличие ключей шифрования, сертификатов и уязвимостей в схеме передачи информации).

Читать далее
Всего голосов 21: ↑11 и ↓10 +1
Просмотры7.4K
Комментарии 7