2019年XNUMX月のセキュリティ総まとめ

4月のまとめでは、Chromeの混合コンテンツ、Pixel XNUMXとsudoのセキュリティ上の欠陥、Firefoxの安全性、Googleの量子コンピューティングの進歩について説明します。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

SSL.comの2019年XNUMX月版へようこそ セキュリティ総まとめ、SSL /の分野における重要な開発に焦点を当てた月末のダイジェストTLS、デジタル証明書、およびデジタルセキュリティ。

今月のブラウザフロント、Googleは開始することを決定しました 混合コンテンツのブロック Chromeでは、MozillaFirefoxは 最も安全なブラウザ ドイツの情報セキュリティ機関による。

その他のセキュリティ関連のニュース、現在GoogleのPixel4のフェイスアンロックシステム 覚醒チェックがない、Linuxユーザーは sudoをアップグレードする、およびGoogleの研究者が 自然 ディテール 量子コンピューティングの進歩.

GoogleがChromeのすべての混合コンテンツをブロックする

Chromiumブログ 発表の 3年2019月XNUMX日、Chromeはまもなくすべてのブロックを開始します 混合コンテンツ、のサブリソースが HTTPS WebサイトはHTTPを介して安全にロードされません。 これまで、ブラウザはブロックされていました アクティブ スクリプトやiframeなどの混合コンテンツ。 Chromeがブロックを開始します パッシブ 混合コンテンツ(画像、オーディオ、ビデオなど)。これもセキュリティリスクをもたらします。 例えば、

攻撃者は、株価チャートの混合画像を改ざんして投資家を誤解させたり、混合リソースの負荷に追跡Cookieを挿入したりする可能性があります。 混合コンテンツをロードすると、ブラウザのセキュリティUXが混乱し、ページが安全でも安全でもなく、その中間に表示されます。

混合コンテンツをブロックするGoogleの動きは、Chrome 79(2019年81月の安定リリース)から始まり、Chrome 2020(XNUMX年XNUMX月の早期リリース)まで続く一連のステップで行われます。

可能な限りウェブを壊さないようにするために、ChromeはHTTPリソースをHTTPSに自動的にアップグレードしようとし(利用可能な場合)、ユーザーはサイトごとに混合コンテンツを有効にすることが許可されます。

SSL.comのポイント: グーグルの行動はあなたのウェブサイト上の混合コンテンツを捨てる複数の正当な理由の最新のものであり、他のブラウザが遅かれ早かれそれに続くことを期待しています。 SSL.comの記事を読んでください。 HTTPS Everywhere:混合コンテンツを削除してSEOを改善する、次に、Webサイトがサービスを提供するように構成されていることを確認します HTTPSを使用するリソース。

ドイツの機関がFirefoxを「最も安全なブラウザ」と名付けました

ドイツ連邦情報セキュリティ局による監査(ドイツ語では、 BunderamtfürSicherheit in der Informationstechnik、またはBMI)は、Mozilla Firefoxが、政府機関の最近更新された最小要件を満たす、テストされた唯一のブラウザであると宣言しました。 必要条件 考慮される 安全な (ご容赦ください ドイツ) による ZDNetの,

BSIは通常、このガイドを使用して、どのブラウザを安全に使用できるかについて、政府機関や民間企業の企業にアドバイスします。

テストされたブラウザには、Firefox 68、Chrome 76、IE 11、およびEdge44が含まれていました。ZDNetの 記事 また、テストには「Safari、Brave、Opera、Vivaldiなどの他のブラウザは含まれていませんでした」とも述べています。

SSL.comのポイント: Firefoxは気に入っていますが、現在のブラウザUIの傾向に照らして、BMIのガイドラインでは、安全なブラウザは「Extended Validation(EV)証明書をサポートする必要がある」と義務付けられていることにも注意してください。 また、ガイドラインでは、ブラウザが「ロードされた証明書を証明書失効リスト(CRL)またはオンライン証明書ステータスプロトコル(OCSP)に対して検証する必要がある」と示されていることも指摘しておく価値があります。 (最近の記事をご覧ください 記事 このテーマの詳細については、ブラウザの失効チェックについて。)

Pixel4の周りで目を覚まします

によって発見された BBCのクリスフォックス、GoogleのPixel 4スマートフォンには、「目を閉じていてもユーザーのデバイスへのアクセスを許可できる」フェイスアンロックシステムが搭載されています。 対照的に、AppleのiOS Face IDには、ユーザーが目を覚まして電話を見ていることを確認するアラートチェックが含まれています。 その一部として、グーグルはそれが問題を修正すると言っています。今後数ヶ月でに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

SSL.comのポイント: Pixel 4をお持ちの場合は、有効にしてフェイスアンロック機能を無効にすることをお勧めします ロックダウンモード Googleが覚醒のチェックを追加するまで。 または、修正が到着するまでPixel 4の近くで寝る(または死ぬ)のを避けることもできます。

Sudoの欠陥により、ユーザーはルートとしてコマンドを実行できます

An 14月XNUMX日ストーリー ハッカーニュース(ザハッカーニュース.comはなく、 news.ycombinator.com)一般的に使用されている脆弱性の概要 sudo 「「sudoers構成」がrootアクセスを明示的に禁止している場合でも、悪意のあるユーザーまたはプログラムがターゲットLinuxシステム上でrootとして任意のコマンドを実行できるようにする可能性がある」コマンド。

の特定の構成に依存するセキュリティ上の欠陥 /etc/sudoers ファイル、1.8.28より前のすべてのバージョンのsudoに影響します。 ユーザーIDを指定することで悪用できます -1 or 4294967295 コマンドラインで。

SSL.comのポイント: sudoをまだ更新していない場合は、できるだけ早く更新してください。

Googleでの量子コンピューティングの飛躍的進歩

ブロッホスフィア
ソース: ウィキメディア·コモンズ

23月XNUMX日、Googleの研究者は in 自然、彼らの新しい量子プロセッサ「シカモア」が

量子回路の200つのインスタンスを10,000万回サンプリングするには、約XNUMX秒かかります。現在のベンチマークでは、最先端の古典的なスーパーコンピューターの同等のタスクに約XNUMX、XNUMX年かかることが示されています。

しかし、CBSニュース 記事 IBMの研究者は、Googleは「サミットと呼ばれる従来のスーパーコンピューターを過小評価しており、実際には2.5。XNUMX日で計算できると述べた」と述べており、この調査結果をめぐる論争がいくつかあることを示しています。 偶然ではないかもしれませんが、SummitはIBMによって開発されました。

SSL.comのポイント: 量子コンピューティングによってインターネットセキュリティにもたらされる危険性はまだここにはありませんが、この分野の発展に目を光らせておくことは賢明です。 特に注目すべきは、の潜在的な脆弱性です。 ECDSAキー 〜に 十分に大きな量子コンピューターでのショアのアルゴリズムの実装.

SSL.comにアクセスしていただきありがとうございます。 より安全な インターネットは 優れた インターネット! メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。


フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。