Rassegna sulla sicurezza di ottobre 2019

Benvenuto nell'edizione di ottobre 2019 di SSL.com Riassunto della sicurezza, una sintesi di fine mese in cui evidenziamo importanti sviluppi nel campo di SSL /TLS, certificati digitali e sicurezza digitale.

Sul fronte del browser questo mese, Google ha deciso di iniziare blocco di contenuti misti in Chrome e Mozilla Firefox è stato nominato browser più sicuro dall'agenzia tedesca per la sicurezza delle informazioni.

In altre notizie relative alla sicurezza, Il sistema Face Unlock di Pixel 4 di Google attualmente manca un controllo di allerta, Gli utenti Linux dovrebbero aggiorna sudoe i ricercatori di Google hanno pubblicato un documento in Natura dettagliare progressi nel calcolo quantistico.

Google blocca tutti i contenuti misti in Chrome

Il blog di Chromium ha annunciato il 3 ottobre 2019 Chrome inizierà presto a bloccare tutto contenuto misto, una condizione in cui le fonti secondarie di un HTTPS il sito Web viene caricato in modo non sicuro su HTTP. Fino a questo momento, i browser hanno bloccato attivo contenuto misto come script e iframe. Chrome inizierà ora a bloccare passivo contenuto misto (ad es. immagini, audio e video), che presentano anche rischi per la sicurezza. Per esempio,

un utente malintenzionato potrebbe manomettere un'immagine mista di un grafico azionario per indurre in errore gli investitori o iniettare un cookie di tracciamento in un carico misto di risorse. Il caricamento di contenuti misti porta anche a un UX di sicurezza del browser confuso, in cui la pagina viene presentata come né sicura né insicura ma a metà strada.

Il passaggio di Google per bloccare i contenuti misti avverrà in una serie di passaggi che iniziano con Chrome 79 (rilascio stabile a dicembre 2019) e proseguono attraverso Chrome 81 (rilascio anticipato a febbraio 2020).

Per evitare di interrompere il Web per quanto possibile, Chrome tenterà di aggiornare automaticamente le risorse HTTP a HTTPS (se disponibile) e gli utenti potranno abilitare il contenuto misto su base sito per sito.

Da asporto di SSL.com: L'azione di Google è solo l'ultima di una serie di buoni motivi per abbandonare i contenuti misti sui tuoi siti Web e ci aspettiamo che altri browser seguiranno l'esempio il prima possibile. Leggi l'articolo di SSL.com, HTTPS ovunque: rimuovi contenuti misti per migliorare la SEO, quindi assicurati che il tuo sito Web sia configurato per la pubblicazione contro tutti i risorse con HTTPS.
Inizio pagina

L'agenzia tedesca chiama Firefox "browser più sicuro"

Un audit da parte dell'Ufficio federale tedesco per la sicurezza delle informazioni (in tedesco, il Ufficio federale per la sicurezza nell'informatica, o BMI) ha dichiarato che Mozilla Firefox è stato l'unico browser testato a soddisfare il minimo aggiornato di recente dell'agenzia requisiti essere considerato Sichere (scusate il nostro Deutsche). Secondo ZDNet,

Normalmente BSI utilizza questa guida per consigliare agenzie governative e aziende del settore privato su quali browser sono sicuri da usare.

I browser testati includevano Firefox 68, Chrome 76, IE 11 e Edge 44. ZDNet's articolo afferma inoltre che i test "non includevano altri browser come Safari, Brave, Opera o Vivaldi".

Da asporto di SSL.com: Ci piace Firefox, ma notiamo anche, alla luce delle attuali tendenze dell'interfaccia utente del browser, che le linee guida di BMI impongono che i browser sicuri "debbano supportare certificati di convalida estesa (EV)". Sembra inoltre opportuno sottolineare che le linee guida indicano che i browser "devono verificare i certificati caricati rispetto a un elenco di revoche di certificati (CRL) o un protocollo di stato dei certificati in linea (OCSP)". (Si prega di consultare il nostro recente articolo sulla verifica della revoca del browser per ulteriori informazioni su questo argomento.)
Inizio pagina

Resta sveglio intorno al tuo Pixel 4

Come scoperto da Chris Fox alla BBC, Lo smartphone Pixel 4 di Google ha un sistema Face Unlock che "può consentire l'accesso al dispositivo di una persona anche se ha gli occhi chiusi". Al contrario, il Face ID iOS di Apple include un controllo di attenzione che assicura che l'utente sia sveglio e guardi il telefono. Da parte sua, Google afferma che risolverà il problema "nei prossimi mesi. "

Da asporto di SSL.com: Se possiedi un Pixel 4, ti consigliamo di disabilitare la funzione Face Unlock abilitando modalità di blocco fino a quando Google aggiunge un controllo per attenzione. In alternativa, potresti semplicemente evitare di dormire (o morire) vicino a Pixel 4 fino all'arrivo di una correzione.
Inizio pagina

Sudo Flaw consente agli utenti di eseguire comandi come root

An Storia del 14 ottobre nelle notizie Hacker (thehackernews.comnon, news.ycombinator.com) delinea una vulnerabilità di recente scoperta nell'uso comune sudo comando che "potrebbe consentire a un utente malintenzionato oa un programma di eseguire comandi arbitrari come root su un sistema Linux mirato anche quando la" configurazione sudoers "nega esplicitamente l'accesso root."

Il difetto di sicurezza, che dipende da una specifica configurazione di /etc/sudoers file, interessa tutte le versioni di sudo precedenti alla 1.8.28. Può essere sfruttato specificando l'ID utente -1 or 4294967295 sulla riga di comando.

Da asporto di SSL.com: Aggiorna sudo al più presto se non l'hai già fatto.

Inizio pagina

Innovazione nel calcolo quantistico su Google

Sfera Bloch
Fonte: Wikimedia Commons

Il 23 ottobre, i ricercatori di Google hanno pubblicato a carta in Natura, segnalando che il loro nuovo processore quantistico, "Sycamore",

ci vogliono circa 200 secondi per campionare un'istanza di un circuito quantistico un milione di volte: i nostri benchmark indicano attualmente che il compito equivalente per un supercomputer classico all'avanguardia richiederebbe circa 10,000 anni.

Tuttavia, una notizia della CBS articolo indica che alcune controversie circondano la scoperta, con i ricercatori IBM che affermano che Google aveva "sottovalutato il supercomputer convenzionale, chiamato Summit, e ha detto che potrebbe effettivamente fare il calcolo in 2.5 giorni". Forse non a caso, Summit è stato sviluppato da IBM.

Da asporto di SSL.com: I pericoli rappresentati per la sicurezza in Internet dall'informatica quantistica non sono ancora qui, ma è saggio tenere d'occhio gli sviluppi in questo campo. Di particolare rilievo è la potenziale vulnerabilità di Chiavi ECDSA a un implementazione dell'algoritmo di Shor su un computer quantistico sufficientemente grande.
Inizio pagina

Grazie per aver visitato SSL.com, dove crediamo a più sicuro Internet è un better Internet! Puoi contattarci via e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.


Team di supporto SSL.com

Autore - Amministratore del contenuto
Tutti i messaggi

Messaggi correlati

Visualizza tutti i post del blog
Facebook LinkedIn Twitter Youtube Github

Cos'è SSL /TLS?

Riproduci video

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio