Bienvenue dans l'édition d'octobre 2019 de SSL.com Résumé de la sécurité, un condensé de fin de mois où nous soulignons les développements importants dans le domaine du SSLTLS, les certificats numériques et la sécurité numérique.
Côté navigateur ce mois-ci, Google a décidé de commencer blocage du contenu mixte dans Chrome, et Mozilla Firefox a été nommé le navigateur le plus sécurisé par l'agence allemande de sécurité de l'information.
Dans d'autres actualités liées à la sécurité, Le système Face Unlock de Google Pixel 4 actuellement manque de contrôle de vigilance, Les utilisateurs de Linux devraient mettre à jour sudoet les chercheurs de Google ont publié un article dans Nature détaillant les progrès de l'informatique quantique.
Google pour bloquer tout le contenu mixte dans Chrome
Le blog Chromium annoncé le 3 octobre 2019 que Chrome commencera bientôt à bloquer tous contenu mixte, une condition où les sous-ressources d'un HTTPS les sites Web sont chargés de manière non sécurisée via HTTP. Jusqu'à présent, les navigateurs bloquaient infection contenu mixte tel que scripts et iframes. Chrome va maintenant commencer à bloquer passif contenu mixte (par exemple, images, audio et vidéo), qui présente également des risques pour la sécurité. Par exemple,
un attaquant pourrait altérer une image mixte d'un graphique boursier pour tromper les investisseurs ou injecter un cookie de suivi dans une charge de ressources mixte. Le chargement de contenu mixte conduit également à une UX de sécurité du navigateur déroutante, où la page est présentée comme ni sécurisée ni non sécurisée, mais quelque part entre les deux.
La décision de Google de bloquer le contenu mixte se déroulera en une série d'étapes commençant avec Chrome 79 (version stable en décembre 2019) et se poursuivant via Chrome 81 (version anticipée en février 2020).
Pour éviter de briser le Web dans la mesure du possible, Chrome tentera de mettre automatiquement à niveau les ressources HTTP vers HTTPS (si disponible), et les utilisateurs seront autorisés à activer le contenu mixte site par site.
L'agence allemande nomme Firefox "le navigateur le plus sécurisé"
Un audit de l'Office fédéral allemand de la sécurité de l'information (en allemand, le Office fédéral de la sécurité informatique, ou BMI) a déclaré que Mozilla Firefox était le seul navigateur testé qui respectait le minimum récemment mis à jour par l'agence exigences à prendre en considération sûr (pardonnez notre Deutsche). Selon ZDNet,
Le BSI utilise normalement ce guide pour conseiller les agences gouvernementales et les entreprises du secteur privé sur les navigateurs à utiliser en toute sécurité.
Les navigateurs testés incluent Firefox 68, Chrome 76, IE 11 et Edge 44. ZDNet's article indique également que les tests "n'incluaient pas d'autres navigateurs comme Safari, Brave, Opera ou Vivaldi."
Restez éveillé autour de votre pixel 4
Comme découvert par Chris Fox à la BBC, Le smartphone Pixel 4 de Google dispose d'un système Face Unlock qui «peut autoriser l'accès à l'appareil d'une personne même si elle a les yeux fermés». En revanche, l'iOS Face ID d'Apple inclut un contrôle de vigilance qui garantit que l'utilisateur est réveillé et regarde le téléphone. De son côté, Google affirme qu'il résoudra le problème "Dans les mois à venir. »
Sudo Flaw permet aux utilisateurs d'exécuter des commandes en tant que root
An Histoire du 14 octobre dans les Hacker News (thehackernews.com, Pas news.ycombinator.com) décrit une vulnérabilité nouvellement découverte dans le sudo commande qui «pourrait permettre à un utilisateur malveillant ou à un programme d'exécuter des commandes arbitraires en tant que root sur un système Linux ciblé, même lorsque la 'configuration sudoers' interdit explicitement l'accès root.»
La faille de sécurité, qui dépend d'une configuration spécifique du /etc/sudoers , affecte toutes les versions de sudo antérieures au 1.8.28. Il peut être exploité en spécifiant l'ID utilisateur -1 or 4294967295 sur la ligne de commande.
Percée informatique quantique chez Google
Le 23 octobre, des chercheurs de Google ont publié un papier in Nature, rapportant que leur nouveau processeur quantique, «Sycamore»,
il faut environ 200 secondes pour échantillonner une instance d'un circuit quantique un million de fois - nos références indiquent actuellement que la tâche équivalente pour un supercalculateur classique de pointe prendrait environ 10,000 XNUMX ans.
Cependant, une nouvelle CBS article indique qu'une certaine controverse entoure la découverte, les chercheurs d'IBM déclarant que Google avait «sous-estimé le supercalculateur conventionnel, appelé Summit, et déclaré qu'il pouvait en fait faire le calcul en 2.5 jours. Peut-être pas par hasard, Summit a été développé par IBM.
Merci de visiter SSL.com, où nous croyons plus sûre Internet est un mieux L'Internet! Vous pouvez nous contacter par email à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.
