Tervetuloa SSL.com: n lokakuun 2019 painokseen Turvallisuus Roundup, kuukauden lopun tiivistelmä, jossa tuomme esiin tärkeitä tapahtumia SSL /TLS, digitaaliset sertifikaatit ja digitaalinen tietoturva.
Selaimen edessä tässä kuussa, Google on päättänyt aloittaa estämällä sekoitettua sisältöä Chromessa, ja Mozilla Firefox on nimetty turvallisin selain Saksan tietoturvavirasto.
Muissa turvallisuuteen liittyvissä uutisissa, Googlen Pixel 4: n Face Unlock -järjestelmä tällä hetkellä puuttuu valppaustarkistus, Linux-käyttäjien pitäisi päivitä sudo, ja Google-tutkijat ovat julkaisseet lehden luonto yksityiskohtaisesti edistysaskel kvanttilaskennassa.
Google estää kaiken sekoitetun sisällön Chromessa
Chromium-blogi ilmoitti 3. lokakuuta 2019, että Chrome alkaa pian estää kaikkia sekoitettu sisältö, tila, jossa HTTPS verkkosivustot ladataan turvattomasti HTTP: n kautta. Tähän asti selaimet ovat estäneet aktiivinen sekoitettua sisältöä, kuten skriptejä ja iframe-kehyksiä. Chrome alkaa nyt estää passiivinen sekoitettua sisältöä (esim. kuvia, ääntä ja videota), jotka aiheuttavat myös tietoturvariskejä. Esimerkiksi,
hyökkääjä voi peukaloida sekalaisen kuvan osakekartasta harhauttaaksesi sijoittajia tai syöttää seurantaevästeen sekoitettuun resurssikuormaan. Sekoitetun sisällön lataaminen johtaa myös hämmentävään selaimen tietoturvaan UX, jossa sivua ei esitetä suojattuna eikä turvattomana, mutta jonnekin väliin.
Googlen siirtyminen estämään sekoitettua sisältöä tapahtuu vaiheittain alkaen Chrome 79: stä (vakaa julkaisu joulukuussa 2019) ja jatkuu Chrome 81: n (varhainen julkaisu helmikuussa 2020) kautta.
Välttääksesi Internetin hajottamista niin pitkälle kuin mahdollista, Chrome yrittää päivittää HTTP-resurssit automaattisesti HTTPS: ksi (jos käytettävissä), ja käyttäjät saavat sallia sekoitetun sisällön sivustokohtaisesti.
Saksan toimisto nimittää Firefoxin "turvallisimman selaimen"
Saksan liittovaltion tietoturvaviraston (saksaksi Liittovaltion tietotekniikan turvallisuusvirastotai BMI) on ilmoittanut, että Mozilla Firefox oli ainoa testattu selain, joka vastasi viraston äskettäin päivitetyn vähimmäisvaatimuksen vaatimukset pitää harkita turvallinen (anteeksi meidän Deutsche). Mukaan ZDNet,
BSI käyttää yleensä tätä opasta neuvoakseen valtion virastoja ja yksityisen sektorin yrityksiä siitä, mitä selaimia on turvallista käyttää.
Testatut selaimet sisälsivät Firefox 68, Chrome 76, IE 11 ja Edge 44. ZDNet's artikkeli toteaa myös, että testit "eivät sisältäneet muita selaimia, kuten Safari, Brave, Opera tai Vivaldi".
Pysy hereillä ympäri pikseliä 4
Kuten löytänyt Chris Fox BBC: ssä, Googlen Pixel 4 -älypuhelimessa on Face Unlock -järjestelmä, joka "voi sallia pääsyn henkilön laitteeseen, vaikka hänen silmänsä olisivat kiinni". Sen sijaan Applen iOS-kasvotunnus sisältää hälytystarkistuksen, joka varmistaa, että käyttäjä on hereillä ja katsoo puhelinta. Google puolestaan sanoo korjaavansa ongelman "tulevina kuukausina"
Sudo Flaw antaa käyttäjien suorittaa komentoja juurina
An 14. lokakuuta tarina Hacker News (thehackernews.com, Ei news.ycombinator.com) hahmottaa äskettäin havaitun yleisen käyttäjän haavoittuvuuden sudo
komento, joka "voi antaa haitallisen käyttäjän tai ohjelman suorittaa mielivaltaisia komentoja pääkäyttäjänä kohdennetussa Linux-järjestelmässä, vaikka sudoers-kokoonpano nimenomaisesti kieltää juurihakemuksen".
Turvallisuusvirhe, joka riippuu /etc/sudoers
tiedosto, vaikuttaa kaikkiin sudo-versioihin ennen 1.8.28. Sitä voidaan hyödyntää määrittelemällä käyttäjätunnus -1
or 4294967295
komentorivillä.
Quantum Computing läpimurto Googlessa
Googlen tutkijat julkaisivat 23. lokakuuta paperi in luonto, raportoivansa, että heidän uusi kvanttiprosessorinsa "Sycamore"
kestää noin 200 sekuntia näytteenotosta yhdestä kvanttipiirin esiintymästä miljoonia kertoja - vertailukohtamme osoittavat tällä hetkellä, että vastaava tehtävä huipputekniselle klassiselle supertietokoneelle vie noin 10,000 XNUMX vuotta.
Kuitenkin CBS-uutinen artikkeli osoittaa, että havaintoa ympäröi jonkinlainen kiista, ja IBM: n tutkijat totesivat, että Google oli "aliarvioinut perinteisen supertietokoneen, nimeltään Summit, ja sanoi, että se pystyy todella suorittamaan laskelman 2.5 päivässä". Mahdollisesti ei sattumalta, Summit on kehittänyt IBM.
Kiitos vierailustasi SSL.com -sivustolla, jossa uskomme a turvallisempaa Internet on paremmin Internet! Voit ottaa meihin yhteyttä sähköpostitse osoitteessa Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain keskustelulinkkiä tämän sivun oikeassa alakulmassa.