Sicherheitsübersicht Oktober 2019

Willkommen zur Oktoberausgabe 2019 von SSL.com Sicherheitsübersicht, eine Zusammenfassung zum Monatsende, in der wir wichtige Entwicklungen im Bereich SSL / hervorheben.TLS, digitale Zertifikate und digitale Sicherheit.

In diesem Monat im BrowserGoogle hat beschlossen zu starten gemischten Inhalt blockieren in Chrome, und Mozilla Firefox wurde die benannt sicherster Browser von der deutschen Informationssicherheitsbehörde.

In anderen sicherheitsrelevanten NachrichtenDerzeit das Face Unlock-System von Pixel 4 von Google Es fehlt eine WachsamkeitsprüfungLinux-Benutzer sollten sudo aktualisierenund Google-Forscher haben einen Artikel in veröffentlicht Natur Detaillierung Fortschritte im Quantencomputer.

Google blockiert alle gemischten Inhalte in Chrome

Der Chromium-Blog angekündigt Am 3. Oktober 2019 wird Chrome bald damit beginnen, alle zu blockieren gemischter Inhalt, eine Bedingung, bei der Unterressourcen eines HTTPS Website werden unsicher über HTTP geladen. Bis zu diesem Zeitpunkt haben Browser blockiert aktiv gemischte Inhalte wie Skripte und Iframes. Chrome beginnt nun zu blockieren Passiv gemischte Inhalte (z. B. Bilder, Audio und Video), die ebenfalls Sicherheitsrisiken bergen. Beispielsweise,

Ein Angreifer könnte ein gemischtes Bild eines Aktiencharts manipulieren, um Investoren irrezuführen, oder ein Tracking-Cookie in eine gemischte Ressourcenlast einfügen. Das Laden gemischter Inhalte führt auch zu einer verwirrenden Browser-Sicherheits-UX, bei der die Seite weder als sicher noch als unsicher dargestellt wird, sondern irgendwo dazwischen.

Der Schritt von Google, gemischte Inhalte zu blockieren, erfolgt in einer Reihe von Schritten, beginnend mit Chrome 79 (stabile Veröffentlichung im Dezember 2019) und bis Chrome 81 (vorzeitige Veröffentlichung im Februar 2020).

Um eine Unterbrechung des Webs so weit wie möglich zu vermeiden, versucht Chrome, HTTP-Ressourcen automatisch auf HTTPS zu aktualisieren (falls verfügbar), und Benutzer können gemischte Inhalte Site für Site aktivieren.

Das Mitnehmen von SSL.com: Die Aktion von Google ist nur der jüngste von mehreren guten Gründen, gemischte Inhalte auf Ihren Websites zu verwerfen. Wir gehen davon aus, dass andere Browser eher früher als später nachziehen werden. Lesen Sie den Artikel von SSL.com. HTTPS Everywhere: Entfernen Sie gemischte Inhalte, um die Suchmaschinenoptimierung zu verbessernund stellen Sie dann sicher, dass Ihre Website für die Bereitstellung konfiguriert ist alle Ressourcen mit HTTPS.
nach oben

Deutsche Agentur ernennt Firefox zum „sichersten Browser“

Eine Prüfung durch das Bundesamt für Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik, oder BMI) hat erklärt, dass Mozilla Firefox der einzige getestete Browser war, der das kürzlich aktualisierte Minimum der Agentur erfüllt hat Anforderungen in Betracht gezogen werden sicher (verzeihen Sie unsere Deutsche). Gemäß ZDNet,

Das BSI verwendet diesen Leitfaden normalerweise, um Regierungsbehörden und Unternehmen aus dem privaten Sektor zu beraten, welche Browser sicher zu verwenden sind.

Zu den getesteten Browsern gehörten Firefox 68, Chrome 76, IE 11 und Edge 44. ZDNets Artikel Außerdem heißt es, dass die Tests "keine anderen Browser wie Safari, Brave, Opera oder Vivaldi enthielten".

Das Mitnehmen von SSL.com: Wir mögen Firefox, stellen jedoch angesichts der aktuellen Trends in der Browser-Benutzeroberfläche fest, dass die BMI-Richtlinien vorschreiben, dass sichere Browser „EV-Zertifikate (Extended Validation) unterstützen müssen“. Es ist auch erwähnenswert, dass die Richtlinien darauf hinweisen, dass Browser „geladene Zertifikate anhand einer Zertifizierungssperrliste (Certification Revocation List, CRL) oder eines Online Certificate Status Protocol (OCSP) überprüfen müssen“. (Bitte beachten Sie unsere letzten Artikel bei Browser-Widerrufsprüfung nach weiteren Informationen zu diesem Thema.)
nach oben

Bleib wach um dein Pixel 4

Wie von entdeckt Chris Fox bei der BBCDas Pixel 4-Smartphone von Google verfügt über ein Face Unlock-System, mit dem „der Zugriff auf das Gerät einer Person auch bei geschlossenen Augen möglich ist“. Im Gegensatz dazu enthält Apples iOS Face ID eine Wachsamkeitsprüfung, die sicherstellt, dass der Benutzer wach ist und auf das Telefon schaut. Google sagt seinerseits, dass es das Problem beheben wird “in den kommenden Monaten"

Das Mitnehmen von SSL.com: Wenn Sie ein Pixel 4 besitzen, empfehlen wir, die Funktion zum Entsperren des Gesichts durch Aktivieren zu deaktivieren Sperrmodus bis Google eine Überprüfung auf Wachsamkeit hinzufügt. Alternativ können Sie einfach vermeiden, in der Nähe Ihres Pixel 4 zu schlafen (oder zu sterben), bis ein Fix eintrifft.
nach oben

Mit Sudo Flaw können Benutzer Befehle als Root ausführen

An 14. Oktober Geschichte in den Hacker News (thehackernews.comnicht news.ycombinator.com) beschreibt eine neu entdeckte Sicherheitslücke in der häufig verwendeten sudo Befehl, der "einem böswilligen Benutzer oder einem Programm ermöglichen könnte, beliebige Befehle als Root auf einem Linux-Zielsystem auszuführen, selbst wenn die" Sudoers-Konfiguration "den Root-Zugriff explizit verbietet."

Die Sicherheitslücke, die von einer bestimmten Konfiguration des abhängt /etc/sudoers Datei, betrifft alle Versionen von sudo vor 1.8.28. Es kann durch Angabe der Benutzer-ID ausgenutzt werden -1 or 4294967295 in der Kommandozeile.

Das Mitnehmen von SSL.com: Aktualisieren Sie sudo so schnell wie möglich, falls Sie dies noch nicht getan haben.

nach oben

Quantum Computing-Durchbruch bei Google

Bloch-Kugel
Quelle: Wikimedia Commons

Am 23. Oktober veröffentlichten Forscher bei Google eine Krepppapier in Naturund berichten, dass ihr neuer Quantenprozessor "Sycamore"

Es dauert ungefähr 200 Sekunden, um eine Instanz einer Quantenschaltung millionenfach abzutasten. Unsere Benchmarks zeigen derzeit, dass die äquivalente Aufgabe für einen hochmodernen klassischen Supercomputer ungefähr 10,000 Jahre dauern würde.

Allerdings eine CBS-Nachricht Artikel weist darauf hin, dass das Ergebnis kontrovers diskutiert wird. IBM Forscher gaben an, dass Google "den herkömmlichen Supercomputer namens Summit unterschätzt und die Berechnung tatsächlich in 2.5 Tagen durchgeführt hat". Möglicherweise nicht zufällig wurde Summit von IBM entwickelt.

Das Mitnehmen von SSL.com: Die Gefahren für die Internetsicherheit durch Quantencomputer sind noch nicht ganz da, aber es ist ratsam, die Entwicklungen in diesem Bereich im Auge zu behalten. Besonders hervorzuheben ist die potenzielle Verwundbarkeit von ECDSA-Schlüssel ein Implementierung des Shor-Algorithmus auf einem ausreichend großen Quantencomputer.
nach oben

Vielen Dank für Ihren Besuch auf SSL.com, wo wir glauben, dass a Sicherheit Internet ist ein better Internet! Sie können uns per E-Mail unter kontaktieren Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.


SSL.com-Support-Team

Autor - Inhaltsadministrator
Alle Beiträge

Ähnliche Blog-Beiträge

Alle Blogeinträge anzeigen
Facebook Linkedin Twitter Youtube Github

Was ist SSL /TLS?

anschauen

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil