Oktober 2019 Beveiligingsoverzicht

Welkom bij de oktober 2019-editie van SSL.com's Beveiligingsoverzicht, een einde-maandoverzicht waarin we belangrijke ontwikkelingen op het gebied van SSL /TLS, digitale certificaten en digitale beveiliging.

Op browsergebied deze maand, Google heeft besloten te starten gemengde inhoud blokkeren in Chrome, en Mozilla Firefox heeft de naam meest veilige browser door het Duitse informatiebeveiligingsbureau.

In ander beveiligingsgerelateerd nieuws, Google's Pixel 4's Face Unlock-systeem momenteel mist een alertheidscontroleMoeten Linux-gebruikers sudo upgraden, en Google-onderzoekers hebben een paper gepubliceerd in NATUUR detaillering vooruitgang in quantum computing.

Google blokkeert alle gemengde inhoud in Chrome

Het Chromium-blog aangekondigd op 3 oktober 2019 zal Chrome binnenkort alles blokkeren gemengde inhoud, een aandoening waarbij subbronnen van een HTTPS website wordt onveilig geladen via HTTP. Tot nu toe blokkeerden browsers actieve gemengde inhoud zoals scripts en iframes. Chrome begint nu te blokkeren passief gemengde inhoud (bijv. afbeeldingen, audio en video), die ook beveiligingsrisico's met zich meebrengen. Bijvoorbeeld,

een aanvaller kan knoeien met een gemengd beeld van een aandeelgrafiek om investeerders te misleiden, of een trackingcookie in een gemengde resource-belasting injecteren. Het laden van gemengde inhoud leidt ook tot een verwarrende browserbeveiligings-UX, waarbij de pagina wordt gepresenteerd als niet veilig of onveilig, maar ergens tussenin.

De stap van Google om gemengde inhoud te blokkeren, zal plaatsvinden in een reeks stappen, te beginnen met Chrome 79 (stabiele release in december 2019) en door te gaan tot Chrome 81 (vroege release in februari 2020).

Om te voorkomen dat internet zo veel mogelijk wordt verbroken, probeert Chrome automatisch HTTP-bronnen te upgraden naar HTTPS (indien beschikbaar), en gebruikers mogen gemengde inhoud per site inschakelen.

De afhaalmaaltijd van SSL.com: De actie van Google is slechts de laatste van meerdere goede redenen om gemengde inhoud op uw websites te verwijderen, en we verwachten dat andere browsers dit eerder eerder dan later zullen volgen. Lees het artikel van SSL.com, HTTPS Everywhere: verwijder gemengde inhoud om SEO te verbeterenen zorg er vervolgens voor dat uw website is geconfigureerd voor weergave allen bronnen met HTTPS.

Duitse instantie noemt Firefox 'meest veilige browser'

Een audit door het Duitse federale bureau voor informatiebeveiliging (in het Duits, de Bundesamt für Sicherheit in de Informationstechnik, of BMI) heeft verklaard dat Mozilla Firefox de enige geteste browser was die voldeed aan het recentelijk bijgewerkte minimum van het bureau eisen te worden overwogen veilig (excuseer ons Deutsche). Volgens ZDNet,

De BSI gebruikt deze gids normaal gesproken om overheidsinstanties en bedrijven uit de particuliere sector te adviseren over welke browsers veilig kunnen worden gebruikt.

Geteste browsers waren onder andere Firefox 68, Chrome 76, IE 11 en Edge 44. ZDNet's dit artikel stelt ook dat de tests "geen andere browsers omvatten, zoals Safari, Brave, Opera of Vivaldi."

De afhaalmaaltijd van SSL.com: We houden van Firefox, maar merken ook op, in het licht van de huidige trends in de browser UI, dat de richtlijnen van BMI voorschrijven dat beveiligde browsers "Extended Validation (EV) -certificaten moeten ondersteunen". Het lijkt ook de moeite waard om erop te wijzen dat de richtlijnen aangeven dat browsers "geladen certificaten moeten verifiëren aan de hand van een Certification Revocation List (CRL) of een Online Certificate Status Protocol (OCSP)." (Zie onze recente dit artikel over controle op intrekking van browser voor meer informatie over dit onderwerp.)

Blijf wakker rond uw Pixel 4

Zoals ontdekt door Chris Fox bij de BBC, Google's Pixel 4-smartphone heeft een Face Unlock-systeem dat "toegang kan geven tot het apparaat van een persoon, zelfs als deze zijn ogen gesloten heeft". De iOS Face ID van Apple daarentegen bevat wel een alertheidscontrole die ervoor zorgt dat de gebruiker wakker is en naar de telefoon kijkt. Google zegt van zijn kant dat het het probleem zal oplossen "in de komende maanden. '

De afhaalmaaltijd van SSL.com: Als je een Pixel 4 bezit, raden we je aan de functie Face Unlock uit te schakelen door deze in te schakelen lockdown-modus totdat Google een controle op alertheid toevoegt. Als alternatief kunt u gewoon slapen (of sterven) in de buurt van uw Pixel 4 vermijden totdat er een oplossing komt.

Met Sudo Flaw kunnen gebruikers opdrachten uitvoeren als root

An 14 oktober verhaal in het Hacker News (thehackernews.com, Niet nieuws.ycombinator.com) schetst een nieuw ontdekte kwetsbaarheid in de veelgebruikte sudo commando dat "een kwaadwillende gebruiker of een programma zou kunnen toestaan ​​om willekeurige commando's als root uit te voeren op een gericht Linux-systeem, zelfs wanneer de 'sudoers-configuratie' de root-toegang expliciet verbiedt."

De beveiligingsfout, die afhangt van een specifieke configuratie van de /etc/sudoers bestand, beïnvloedt alle versies van sudo vóór 1.8.28. Er kan misbruik van worden gemaakt door het gebruikers-ID op te geven -1 or 4294967295 op de opdrachtregel.

De afhaalmaaltijd van SSL.com: Update sudo ASAP als je dat nog niet hebt gedaan.

Quantum Computing Doorbraak bij Google

Bloch bol
Bron: Wikimedia Commons

Op 23 oktober publiceerden onderzoekers van Google een papier in NATUUR, meldde dat hun nieuwe kwantumprocessor, "Sycamore",

het duurt ongeveer 200 seconden om een ​​exemplaar van een kwantumcircuit een miljoen keer te bemonsteren - onze benchmarks geven momenteel aan dat de equivalente taak voor een ultramoderne klassieke supercomputer ongeveer 10,000 jaar zou duren.

Wel een CBS-nieuws dit artikel geeft aan dat er enige controverse rond de bevinding zit, waarbij IBM-onderzoekers beweren dat Google "de conventionele supercomputer, Summit genaamd, had onderschat en zei dat het de berekening in 2.5 dagen zou kunnen doen". Misschien niet toevallig is Summit ontwikkeld door IBM.

De afhaalmaaltijd van SSL.com: De gevaren die quantum computing met zich meebrengt voor internetbeveiliging zijn er nog niet, maar het is verstandig om de ontwikkelingen op dit gebied in de gaten te houden. Van bijzonder belang is de potentiële kwetsbaarheid van ECDSA-sleutels een implementatie van het algoritme van Shor op een voldoende grote kwantumcomputer.

Bedankt voor het bezoeken van SSL.com, waar wij geloven dat een veiliger Internet is een beter Internet! U kunt contact met ons opnemen via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.


Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.