В прямом эфире с середины лета мы рады представить вам июльский обзор новостей из мира цифровой безопасности! В этом месяце мы рассмотрим:
- Microsoft получает преимущество в игре безопасности
- Изображения будут автоматически обновлены до HTTPS в Chrome 85
- Apple, Chrome и Firefox переходят на 398-дневные сертификаты
- Microsoft применяет устаревшие TLS 1.0 и 1.1 для Office 365
Нужен сертификат? SSL.com предоставляет широкий спектр цифровых сертификатов, в том числе:
NSS Labs присуждает Microsoft Edge высший рейтинг по защите от фишинга и вредоносных программ
До настоящего времени Microsoft Edge оказался серьезным конкурентом более устоявшимся браузерам, и новые обновления только укрепляют его позиции. отчету Кейт О'Флаэрти из Forbes отмечает, что он все еще может оставаться вторым браузером в целом, но недавние обновления сделали его непревзойденным, когда дело доходит до безопасности. Из статья Forbes:
Но новый отчет NSS Labs на самом деле Microsoft видела, как Edge обошел Chrome в ставках по безопасности. Потому что он использует SmartScreen защитника MicrosoftБыло установлено, что Edge предлагает лучшую защиту от фишинга по сравнению с другими протестированными браузерами, блокируя 95.5% фишинговых URL. Google, который использует API безопасного просмотразанял второе место на 86.9%.
Как сайт Microsoft ориентирован OnMsft Согласно отчетам, другой отдельный отчет NSS Labs показывает, что Edge также имеет лучшую защиту от вредоносных программ, чем конкуренты Chrome, Firefox и Opera. Microsoft Edge блокирует 98.5% вредоносных программ, в то время как второе место Firefox блокирует в среднем на 86.1%, а затем Google Chrome на 86.0%.
Это, конечно, прекрасное время, чтобы сосредоточиться на безопасности браузера, поскольку больше работы и операций перемещается из офиса в децентрализованную модель работы на дому. Мы будем следить за обновлениями, которые Edge продолжает выпускать, и будем следить за тем, как браузер борется за доминирование на рынке.
Изображения будут автоматически обновлены до HTTPS в Chrome 85 к концу лета
В качестве еще одного шага на пути к всестороннему внедрению HTTPS следующая основная версия Chrome автоматически обновит изображения, передаваемые по протоколу HTTP с веб-сайтов HTTPS, до более безопасного протокола. В Chrome 85, стабильная версия которого выйдет 25 августа, HTTPS будет единственным вариантом для изображений, размещаемых на веб-сайтах HTTPS - если это недоступно, изображения просто не будут отображаться в Chrome.
Как обычно, Chromium Blog имеет более подробную информацию:
Хром сейчас автоматическое обновление изображений обслуживается по протоколу HTTP с сайтов HTTPS путем перезаписи URL-адресов на HTTPS без возврата к HTTP, когда защищенный контент недоступен. Chrome осуществляет автоматическое обновление аудио- и видеоконтента с версии 80.
Это хороший шаг вперед и хорошее напоминание устранить смешанный контент на сайтах!
Chrome и Firefox следуют Apple за 398-дневными сертификатами
Что ж, это официально. С 1 сентября все программное обеспечение Apple (по существу) будет отклонять SSL /TLS сертификаты, действительные более 398 дней. Индустрия знает, что это произойдет с февраля, поэтому, несмотря на то, что это по-прежнему примечательно, настоящие новости заключаются в том, что Chrome и Firefox официально следуют этому примеру, и Mozilla готовится перейти на 398 сертификатов в своем браузере, и подтверждение в исходном коде Chromium что Chrome будет применять тот же стандарт, начиная с 1 сентября.
Регистр отчитался об «утеривании» 2-летних сертификатов в статье Шона Николса об изменении:
Apple считает, что эта политика гарантирует, что веб-сайты и приложения обновляют свои сертификаты один раз в год, тем самым поощряя их использовать новейшие криптографические стандарты и гарантируя, что украденные сертификаты не могут быть использованы для длительных фишинговых кампаний и других махинаций, поскольку они истекают достаточно скоро.
… Достаточно сказать, что это изменение раздражало продавцов сертификатов. «Одностороннее решение Apple, противоречащее результатам голосования, делает CA / B Forum немного бесполезным, с нашей точки зрения», - фыркнул испанский cert biz Firmaprofesional.
Все признаки указывают на то, что все следуют указаниям Apple сократить срок действия сертификатов. На данный момент Microsoft еще не объявила о том, что они будут делать, но сделать выводы они будут легко, учитывая тот факт, что браузер Edge компании использует Chrome в качестве своего движка.
Microsoft применяет устаревшие TLS 1.0 и 1.1 для Office 365
После задержки, связанной с пандемией, Microsoft официально начать применять амортизацию TLS Протоколы 1.0 и 1.1 - которые, как известно, небезопасны - в Office 365. Протоколы фактически устарели по состоянию на 31 октября 2018 года. И, согласно Microsoft, принудительное применение было сброшено и должно быть запущено 15 октября 2020.
Честно говоря, это не повлияет на слишком многих пользователей, так как клиент Office может использовать TLS 1.2, если поддерживается локальным компьютером. Тем не менее, стоит отметить, что TLS 1.2 недоступна в Windows 7 без Обновление KB 3140245, Те, кто ищет технический обзор изменений, могут обратиться к Блог Microsoft, что объясняет все это.