en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Resumen de seguridad de octubre de 2019

Bienvenido a la edición de octubre de 2019 de SSL.com Resumen de seguridad, un resumen de fin de mes donde destacamos importantes desarrollos en el campo de SSL /TLS, certificados digitales y seguridad digital.

En el frente del navegador este mes, Google ha decidido comenzar bloqueo de contenido mixto en Chrome, y Mozilla Firefox ha sido nombrado navegador más seguro por la agencia de seguridad de la información de Alemania.

En otras noticias relacionadas con la seguridad., El sistema de desbloqueo facial de Pixel 4 de Google actualmente carece de un control de alerta, Los usuarios de Linux deberían actualizar sudo, y los investigadores de Google han publicado un artículo en Naturaleza detallando avances en computación cuántica.

Google para bloquear todo el contenido mixto en Chrome

El blog de cromo anunció el 3 de octubre de 2019, Chrome pronto comenzará a bloquear todo contenido mixto, una condición donde los subrecursos de un HTTPS El sitio web se carga de forma insegura a través de HTTP. Hasta este momento, los navegadores han estado bloqueando lector activo contenido mixto como scripts e iframes. Chrome ahora comenzará a bloquear pasivo contenido mixto (por ejemplo, imágenes, audio y video), que también presentan riesgos de seguridad. Por ejemplo,

un atacante podría alterar una imagen mixta de un gráfico de acciones para engañar a los inversores o inyectar una cookie de seguimiento en una carga de recursos mixtos. La carga de contenido mixto también conduce a una confusa UX de seguridad del navegador, donde la página se presenta como no segura ni insegura, sino en algún punto intermedio.

El movimiento de Google para bloquear el contenido mixto se llevará a cabo en una serie de pasos que comenzarán con Chrome 79 (lanzamiento estable en diciembre de 2019) y continuarán hasta Chrome 81 (lanzamiento anticipado en febrero de 2020).

Para evitar romper la web en la medida de lo posible, Chrome intentará actualizar automáticamente los recursos HTTP a HTTPS (si está disponible), y los usuarios podrán habilitar contenido mixto sitio por sitio.

Para llevar de SSL.com: La acción de Google es solo la última de las múltiples buenas razones para deshacerse del contenido mixto en sus sitios web, y esperamos que otros navegadores sigan su ejemplo más temprano que tarde. Lea el artículo de SSL.com, HTTPS en todas partes: eliminar contenido mixto para mejorar el SEOy luego asegúrese de que su sitio web esté configurado para servir todos las recursos con HTTPS.

La agencia alemana nombra a Firefox como el "navegador más seguro"

Una auditoría de la Oficina Federal de Seguridad de la Información de Alemania (en alemán, el Oficina Federal de Seguridad en Tecnología de la Información, o BMI) ha declarado que Mozilla Firefox fue el único navegador probado que cumplió con el mínimo actualizado recientemente de la agencia. requisitos para ser considerado Sichere (perdón nuestro Alemán). De acuerdo a ZDNet,

El BSI normalmente utiliza esta guía para asesorar a las agencias gubernamentales y empresas del sector privado sobre qué navegadores son seguros de usar.

Los navegadores probados incluyeron Firefox 68, Chrome 76, IE 11 y Edge 44. ZDNet's artículo también afirma que las pruebas "no incluyeron otros navegadores como Safari, Brave, Opera o Vivaldi".

Para llevar de SSL.com: Nos gusta Firefox, pero también observamos, a la luz de las tendencias actuales de la interfaz de usuario del navegador, que las pautas de BMI exigen que los navegadores seguros "deben admitir certificados de validación extendida (EV)". También parece que vale la pena señalar que las pautas indican que los navegadores "deben verificar los certificados cargados con una Lista de revocación de certificación (CRL) o un Protocolo de estado de certificado en línea (OCSP)". (Consulte nuestra reciente artículo en la comprobación de revocación del navegador para obtener más información sobre este tema).

Mantente despierto alrededor de tu Pixel 4

Según lo descubierto por Chris Fox en la BBC, El teléfono inteligente Pixel 4 de Google tiene un sistema de desbloqueo facial que "puede permitir el acceso al dispositivo de una persona incluso si tiene los ojos cerrados". Por el contrario, el Face ID de iOS de Apple incluye un control de alerta que asegura que el usuario esté despierto y mirando el teléfono. Por su parte, Google dice que solucionará el problema "en los próximos meses."

Para llevar de SSL.com: Si posee un Pixel 4, le recomendamos que desactive la función Desbloqueo facial habilitando modo de bloqueo hasta que Google agregue un cheque de alerta. Alternativamente, puede evitar dormir (o morir) cerca de su Pixel 4 hasta que llegue una solución.

La falla de Sudo permite a los usuarios ejecutar comandos como root

An 14 de octubre historia en las noticias del pirata informático (thehackernews.comno, noticias.ycombinator.com) describe una vulnerabilidad recién descubierta en los de uso común sudo comando que "podría permitir que un usuario malintencionado o un programa ejecute comandos arbitrarios como root en un sistema Linux objetivo, incluso cuando la 'configuración de sudoers' explícitamente no permite el acceso de root".

La falla de seguridad, que depende de una configuración específica del /etc/sudoers archivo, afecta a todas las versiones de sudo anteriores a 1.8.28. Se puede explotar especificando la ID de usuario -1 or 4294967295 en la línea de comando.

Para llevar de SSL.com: Actualice sudo lo antes posible si aún no lo ha hecho.

Avance de la computación cuántica en Google

Esfera Bloch
Fuente: Wikimedia Commons

El 23 de octubre, los investigadores de Google publicaron un in Naturaleza, informando que su nuevo procesador cuántico, "Sycamore",

toma alrededor de 200 segundos para probar una instancia de un circuito cuántico un millón de veces; nuestros puntos de referencia actualmente indican que la tarea equivalente para una supercomputadora clásica de vanguardia tomaría aproximadamente 10,000 años.

Sin embargo, una noticia de CBS artículo indica que existe cierta controversia en torno al hallazgo, y los investigadores de IBM afirmaron que Google había "subestimado la supercomputadora convencional, llamada Summit, y dijo que en realidad podría hacer el cálculo en 2.5 días". Posiblemente no por casualidad, Summit fue desarrollado por IBM.

Para llevar de SSL.com: Los peligros que plantea la computación cuántica para la seguridad de Internet aún no están aquí, pero es aconsejable estar atento a los desarrollos en este campo. De particular interés es la vulnerabilidad potencial de Claves ECDSA a una implementación del algoritmo de Shor en una computadora cuántica suficientemente grande.

Gracias por visitar SSL.com, donde creemos que Safer Internet es un mejor ¡Internet! Puede contactarnos por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.


Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com