2019. október Biztonsági Roundup

Üdvözöljük az SSL.com 2019 októberi kiadásában Biztonsági Roundup, a hónap végi összefoglaló, ahol fontos fejleményeket emelünk ki az SSL /TLS, digitális tanúsítványok és digitális biztonság.

A böngésző elején ebben a hónapban, A Google úgy döntött, hogy elindítja a vegyes tartalom blokkolása és a Mozilla Firefox a legbiztonságosabb böngésző Németország információbiztonsági ügynöksége.

Más, a biztonsággal kapcsolatos hírekben, A Google Pixel 4 Face Unlock rendszere jelenleg nincs éberségi ellenőrzés, A Linux felhasználóknak frissítsd a sudo-t, és a Google kutatói egy cikket tettek közzé Természet részletezve a kvantumszámítás fejlődése.

A Google blokkolja az összes vegyes tartalmat a Chrome-ban

A Chromium blog bejelentés 3. október 2019-án, hogy a Chrome hamarosan elkezdi az összes blokkolását kevert tartalom, olyan feltétel, amikor egy HTTPS a webhelyek nem biztonságosan vannak betöltve HTTP-n keresztül. Addig, amíg a böngészők blokkoltak aktív vegyes tartalom, például szkriptek és iframe-k. A Chrome most elkezdi a blokkolást passzív vegyes tartalom (pl. képek, hang és videó), amelyek szintén biztonsági kockázatot jelentenek. Például,

a támadó megsértheti a részvénytáblázat vegyes képét, hogy megtévessze a befektetőket, vagy bevezethet egy követő cookie-t egy vegyes erőforrás-terhelésbe. A vegyes tartalom betöltése egy zavaros böngészőbiztonsági UX-hez vezet, ahol az oldal nem biztonságos, se nem biztonságos, hanem a kettő között van.

A Google lépése a vegyes tartalom blokkolására a Chrome 79-től (stabil kiadás 2019 decemberében) és a Chrome 81-en (korai megjelenés 2020 februárjában) kezdődő lépésekből áll.

Annak elkerülése érdekében, hogy a web a lehető legnagyobb mértékben megsérüljön, a Chrome megpróbálja automatikusan frissíteni a HTTP-erőforrásokat HTTPS-re (ha elérhető), és a felhasználók engedélyezhetik vegyes tartalom engedélyezését webhelyenként.

Az SSL.com elvitele: A Google fellépése csak a legfrissebb oka annak, hogy a webhelyein vegyes tartalmat árasszon el, és reméljük, hogy más böngészők is előbb utóbb követik ezt a példát. Olvassa el az SSL.com cikkét, HTTPS mindenhol: Távolítsa el a vegyes tartalmat a SEO javítása érdekében, majd ellenőrizze, hogy webhelye konfigurálva van-e a kiszolgálásra minden erőforrások a HTTPS segítségével.
Ugrás az oldal tetejére

A német ügynökség megnevezi a Firefoxot: „A legbiztonságosabb böngésző”

A német szövetségi információbiztonsági hivatal ellenőrzése (németül a Szövetségi Információs Technológiai Biztonsági Hivatal, vagy BMI) kijelentette, hogy a Mozilla Firefox volt az egyetlen tesztelt böngésző, amely megfelelt az ügynökség nemrégiben frissített minimumának követelmények figyelembe kell venni biztonságos (bocsásson meg Német). Alapján ZDNet,

A BSI általában ezt az útmutatót használja arra, hogy tanácsot adjon a kormányzati ügynökségeknek és a magánszektor cégeinek arról, hogy mely böngészők biztonságosak.

A tesztelt böngészők között volt a Firefox 68, a Chrome 76, az IE 11 és az Edge 44. A ZDNet cikkben azt is kijelenti, hogy a tesztek „nem tartalmaztak olyan böngészőket, mint a Safari, a Brave, az Opera vagy a Vivaldi”.

Az SSL.com elvitele: Szeretjük a Firefoxot, de a böngésző felhasználói felületének jelenlegi tendenciáinak fényében megjegyezzük, hogy a BMI irányelvei előírják, hogy a biztonságos böngészőknek „támogatniuk kell a kiterjesztett validációs (EV) tanúsítványokat”. Érdemes kiemelni azt is, hogy az irányelvek szerint a böngészőknek „ellenőrizniük kell a betöltött tanúsítványokat a tanúsítvány visszavonási listáján (CRL) vagy az online tanúsítvány állapotának protokollján (OCSP) keresztül”. (Kérjük, olvassa el a közelmúltban cikkben a böngésző visszavonásának ellenőrzéséről, ha többet szeretne megtudni erről a témáról.)
Ugrás az oldal tetejére

Maradjon ébren a 4 pixel körül

Amint azt felfedezte Chris Fox a BBC-ben, A Google Pixel 4 okostelefonján van egy Face Unlock rendszer, amely „lehetővé teszi a hozzáférést egy személy eszközéhez, még akkor is, ha csukott szemmel van” Ezzel szemben az Apple iOS Face ID-je riasztási ellenőrzést tartalmaz, amely biztosítja, hogy a felhasználó ébren legyen és a telefont nézze. A Google a maga részéről azt mondja, hogy megoldja a problémátaz elkövetkező hónapokban. "

Az SSL.com elvitele: Ha a Pixel 4 tulajdonosa van, azt javasoljuk, hogy kapcsolja ki az Arcfeloldás funkciót lezárási mód mindaddig, amíg a Google hozzáadja az éberségi ellenőrzést. Alternatív megoldásként elkerülheti alvását (vagy haldoklását) a Pixel 4 közelében, amíg javítás meg nem érkezik.
Ugrás az oldal tetejére

A Sudo Flaw lehetővé teszi a felhasználók számára, hogy a parancsokat gyökérként futtassák

An Október 14-i történet a Hacker Hírekben (thehackernews.comés nem news.ycombinator.com) felvázolja az újonnan felfedezett sebezhetőséget a gyakran használt területeken sudo parancs, amely „lehetővé teheti egy rosszindulatú felhasználó vagy program számára tetszőleges parancsok végrehajtását rootként egy megcélzott Linux rendszeren akkor is, ha a„ sudoers konfiguráció ”kifejezetten tiltja a root hozzáférést.”

A biztonsági hiba, amely a /etc/sudoers fájl, az 1.8.28 előtti összes sudo verziót érinti. Kihasználható a felhasználói azonosító megadásával -1 or 4294967295 a parancssorban.

Az SSL.com elvitele: Frissítse a sudo ASAP-ot, ha még nem tette meg.

Ugrás az oldal tetejére

Quantum Computing Áttörés a Google-on

Bloch gömb
Forrás: Wikimedia Commons

Október 23-án a Google kutatói közzétették a papír in Természet, jelentve, hogy új kvantum processzoruk, a „Sycamore

Körülbelül 200 másodperc alatt vesz igénybe a kvantumáramkör egy példányának egymilliószor történő mintavételét - referenciaértékeink jelenleg azt jelzik, hogy a legmodernebb klasszikus szuperszámítógép ekvivalens feladata körülbelül 10,000 XNUMX évig tart.

Ugyanakkor egy CBS hír cikkben jelzi, hogy némi vita övezi a megállapítást, az IBM kutatói azt állítják, hogy a Google „alábecsülte a Summit nevű hagyományos szuperszámítógépet, és azt mondta, hogy ez 2.5 nap alatt képes elvégezni a számítást”. Talán nem véletlenül, a Summitot az IBM fejlesztette ki.

Az SSL.com elvitele: A kvantumszámítás által az internet biztonságára jelentett veszélyek még nincsenek itt, de bölcs dolog szemmel tartani az ezen a területen zajló fejleményeket. Különösen figyelemre méltó a ECDSA kulcsok egy Shor algoritmusának megvalósítása kellően nagy kvantum számítógépen.
Ugrás az oldal tetejére

Köszönjük, hogy ellátogatott az SSL.com oldalára, ahol úgy gondoljuk, hogy a biztonságosabb Az Internet a jobb Internet! Felveheti velünk a kapcsolatot e-mail címen: Support@SSL.com, hívás 1-877-SSL-SECURE, vagy kattintson az oldal jobb alsó sarkában található csevegési linkre.


SSL.com támogatási csapat

Szerző - Tartalom Rendszergazda
Minden hozzászólás

Kapcsolódó blogbejegyzések

Összes blogbejegyzés megtekintése
Facebook Linkedin Twitter Youtube GitHub

Mi az SSL /TLS?

Videó lejátszása

Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.

Kérdőívet kitölteni