Üdvözöljük az SSL.com Security Roundup áprilisi kiadásában! Sokan közülünk együttmûködtek az elmúlt hónapban, de az online élet továbbra is erõteljes, ami azt jelenti, hogy még sok van bennünket a digitális biztonság területén. Ebben a hónapban a következőkkel foglalkozunk:
- A Microsoft elhalasztja TLS 1.0 és 1.0 értékcsökkenés
- Csak HTTPS mód a Firefox 76-ban
- Bővített ügyféltanúsítvány-hozzáférés a Firefox 75-hez
- A Zoom nyílt forrású alternatívája
A Microsoft elhalasztja TLS 1.0 és 1.1 értékcsökkenés
Bár a Microsoft azt tervezte, hogy letiltja a Közlekedési Réteg Biztonságot (TLS) az 1.0 és az 1.1 verzió valamelyikén tavasszal a társaság bejelentés hogy „a jelenlegi események fényében” ezt a tervet az év végére halasztják.
Noha ez kényelmes ürügy lehet a cselekvés elmulasztására, A ghacks.net jelentések hogy a böngészők körében elterjedt ígéret a biztonsági protokollok letiltásáról valójában problémát vált a világjárvány idején. Ők írnak:
Néhányan, mint például a Mozilla, tovább haladtak a változással, de visszafordították azt, amikor világossá vált, hogy egyes kormányzati helyek továbbra is támaszkodnak ezekre a protokollokra. A Firefox felhasználói már nem tudtak hozzáférni ezekre a webhelyekre a letiltott protokollok miatt. A Mozilla újra engedélyezte a protokollokat, hogy megbizonyosodjon arról, hogy a Firefox felhasználói világszerte válsághelyzetben hozzáférhetnek-e fontos helyekhez.
Jelenleg a Microsoft azt tervezi, hogy júliusban kiadja egy új Chromium alapú Microsoft Edge 84r verziót TLS Az 1.0 és 1.1 alapértelmezés szerint le van tiltva. A Microsoft Internet Explorer 11 és a Classic Microsoft Edge szeptember 8-án letiltja a protokollokat.
A Firefox 76 opcionális, csak HTTPS-módot kap
A Mozilla bejelentette, hogy a felhasználók számára egy Csak HTTPS mód a Firefox böngésző 76-os verziójában. A Softpedia szerint a szolgáltatás arra szolgál, hogy a HTTP-hez ragaszkodó néhány straggleget a biztonságos oldalra tolja HTTPS jegyzőkönyv. A böngészőben történő aktiválás után a HTTP webhelyek már nem töltődnek be. Ehelyett a böngésző megpróbálja frissíteni a kapcsolatot HTTPS-re. Ha ez nem érhető el, akkor a felhasználók egy „Biztonságos kapcsolat sikertelen” figyelmeztetést kapnak, amelyet figyelni lehet, vagy figyelmen kívül hagyni.
A Firefox 76 most ezt a biztonságosabb böngészést csak opcióként fogja felajánlani - nem alapértelmezésként -, így a felhasználóknak választaniuk kell a csak a HTTPS-re vonatkozó élményt.
A Firefox 75 egyszerűsített ügyféltanúsítványai
További jó hír a Firefoxról, - jelentette be Mozilla egyszerűsíteni fogják az ügyféltanúsítvány használatát a böngésző 75-ös verziójában azáltal, hogy lehetővé teszik számára az operációs rendszer tanúsítványtárolójának elérését a Windows és a MacOS rendszeren. Eddig a pontig a Firefox felhasználóinak kliens tanúsítványokkal kellett dolgozniuk a böngészőben egy harmadik fél könyvtárának betöltésével, hogy kommunikáljanak hardver tokenekkel, vagy tanúsítványokat és magánkulcsokat importáljanak a böngésző saját tanúsítványtárolójába. Ez nem a legbiztonságosabb módja a dolgoknak, és stabilitási problémákat is okozhat.
Most, akárcsak a Chrome és más böngészők, a Firefox kifejlesztette saját könyvtárát az operációs rendszer tanúsítványtárolójának kezelésére. A blogból:
Ahelyett, hogy harmadik féltől származó könyvtárakat tölt be a hardver tokenekkel való kommunikációra, a Firefox átruházhatja ezt a feladatot az operációs rendszerre. Ahelyett, hogy a felhasználót arra kényszerítenék, hogy ügyféltanúsítványokat exportáljon, és újra importálják Firefox profiljukba, a Firefox közvetlenül megkeresi ezeket a tanúsítványokat. A magánkulcsok védelme mellett ez az új mechanizmus lehetővé teszi a Firefox számára, hogy kihasználatlan kulcsokkal rendelkező ügyféltanúsítványokat is használjon. Azt várjuk, hogy ez a szolgáltatás nagy előnye legyen azoknak a vállalati felhasználóknak, akik korábban nagy teherbírásúak voltak ahhoz, hogy konfigurálják a Firefoxot a környezetükhöz. .
A Jitsi nyílt forráskódú alternatívát kínál a zoomra
A Zoom sok címet készített a múlt hónapban. Először mindenki felugrott a Zoomra, hogy otthoni munkához, barátokhoz és családhoz csatlakozzon, miközben utasítást kapott, hogy otthon maradjon, hogy megakadályozzák a koronavírus terjedését. Aztán mindenki elmenekült, amikor biztonsági kérdések merültek fel, és dolgoztak. Időközben alternatívák merültek fel.
Jitsi találkozni from 8 × 8 nyílt forráskódú lehetőséget kínál a videokonferenciákhoz, amely olyan funkciókkal rendelkezik, mint a jelszóvédelem. És, mint Vezetékes jegyzetek, határozott előnyei vannak annak a nyílt forráskódú szoftvernek, amely lehetővé teszi a fejlesztői közösség általi módosításokat:
Az a tény, hogy bárki módosíthatja és megoszthatja a Jitsi kódját, azt jelenti, hogy mások beépíthetik az eszközt szoftverükbe. A WeSchool megcsinálta. Ugyanúgy működött a nyílt forrású chat-szoftver Zendülés, amely Jitsi-t használja a videocsevegés komponenséhez. Ivov szerint a 8 × 8 előnye az ilyen típusú projekteknek, mert tesztelik, hogy Jitsi kódja hogyan teljesít különböző eszközökön és különböző környezetekben. Ez segít a Jitsi fejlesztőcsapatának a szoftver fejlesztésében mind a nyílt forráskódú felhasználók, mind a fizetett 8 × 8 ügyfelek számára.
Jelenleg a Jitsi csak az egy-egy híváshoz végponttól való titkosítást kínál, nem két személynél több konferencián (amelyekhez egy központi szerver használata szükséges, amely az adatok visszafejtését igényli) / De működnek kiterjesztve a végpontok közötti titkosítást azokra a nagyobb hívásokra.