Добро пожаловать в октябрьский выпуск обзора безопасности SSL.com! В этом особенном выпуске на Хэллоуин мы сохранили наш контент точно так же. В конце концов, что может быть страшнее опасений по поводу цифровой безопасности и неправильного шифрования?
А знаете ли вы, что у SSL.com теперь тоже есть рассылка по электронной почте? Заполните форму ниже, чтобы получить PKI новости цифровой безопасности, подобные этой, а также информацию о продуктах и услугах SSL.com. (Вы можете легко отказаться от подписки в любое время, нажав на отказаться от подписки ссылка в каждом электронном письме, которое мы отправляем.):
США присоединились к шести странам в новом конкурсе на доступ с шифрованием бэкдора
Вновь власть имущие призывают к так называемым «черным дверям» к шифрованию. На этот раз, по словам Грань, США присоединяются к Великобритании, Австралии, Новой Зеландии, Канаде, Индии и Японии. в международном заявлении который запрашивает доступ у правоохранительных органов. Рассел Брэндом пишет:
Министерство юстиции имеет долгую историю защиты от шифрования. В 2018 году пять из семи стран-участниц выразили аналогичные опасения в открытом меморандуме технологическим компаниям, хотя этот меморандум практически не привел к прогрессу отрасли в этом вопросе. На каждом шагу технологические компании настаивали на том, что любой бэкдор, созданный для правоохранительных органов, неизбежно станет целью преступников и в конечном итоге сделает пользователей менее безопасными ... Важно отметить, что семь стран будут стремиться не только получить доступ к зашифрованным данным в пути - например, конечным сквозное шифрование, используемое WhatsApp, но также и локально хранимые данные, такие как содержимое телефона.
Неудивительно, что технологические компании и защитники конфиденциальности также высказались против этого заявления. как другие попытки помешать шифрованию сильными мира сего.
Android 11 ужесточает ограничения на сертификаты CA
Тим Перри отчеты в Android Toolkit что Android 11, выпущенный 11 сентября, делает «невозможным для какого-либо приложения, средства отладки или действия пользователя» запрос на установку сертификата ЦС даже в ненадежное по умолчанию хранилище сертификатов, управляемое пользователем. Единственный способ установить любой сертификат CA сейчас - использовать кнопку, скрытую глубоко в настройках, на странице, на которую приложения не могут ссылаться ».
Почему это важно? Что ж, хотя управление CA следует тщательно контролировать, у приложений есть потенциальные причины, по которым они могут выбирать, каким из них доверять. Разработчики используют его, например, для тестирования, и это изменение значительно усложняет задачу. Тем не менее, трудно утверждать, что изменение является потерей, если смотреть через призму безопасности; приложения, предлагающие пользователям установить коренные сертификаты может привести к разного рода проблемам, таким как предоставление злоумышленникам доступа к имитациям веб-сайтов и расшифровке интернет-трафика.
Zoom заявляет, что готово сквозное шифрование
Это был большой год для Zoom, компании, которая сначала попала в заголовки как способ для всех нас быть на связи во время пандемической изоляции, а затем сделала заголовки, разрешив нежелательным людям подключаться ко всем из-за проблем с безопасностью. В рамках недавнего шага по повышению конфиденциальности и безопасности Zoom объявила, что ее реализация сквозного шифрования готова для предварительного просмотра.
Конечно, как статья Саймона Шарвуда в The Register отмечается, что в апреле Zoom заявила о своем собственном бренде «сквозного шифрования», но в то время компания TLS а HTTPS означал, что Zoom сам мог перехватывать и расшифровывать чаты - трафик был зашифрован только «от конечной точки Zoom до конечной точки Zoom». Теперь Zoom объявил он будет предлагать настоящее сквозное шифрование, не позволяющее им получить доступ к чату.
Однако, как отмечает The Register, есть одна загвоздка:
[su-note class = ”info”]Вывод SSL.com: Как ежедневные пользователи Zoom, мы аплодируем улучшениям в области безопасности. Однако сквозное шифрование должно быть по умолчанию, а не требовать включения каждый раз. [/ Su_note]Не думайте, что предварительный просмотр означает, что Zoom отказался от безопасности, потому что компания заявляет: «Чтобы использовать его, клиенты должны включить собрания E2EE на уровне учетной записи и подписаться на E2EE для каждой встречи» ... чтобы им постоянно напоминали использовать пароли, не являющиеся ненужными, не нажимать на фишинг или утечку бизнес-данных на личных устройствах, они почти наверняка будут каждый раз выбирать E2EE без необходимости получать подсказки, верно?
Популярные мобильные браузеры и Safari уязвимы для атак со спуфингом адресной строки
Из плохих новостей, опубликованных исследователями кибербезопасности, похоже, что некоторые адресные строки браузера уязвимы для спуфинга. Рави Лакшманан с Новости Хакер сообщает, что Apple Safari и мобильные браузеры, такие как Opera Touch и Bolt, открыты для спуфинга, что оставляет ничего не подозревающих пользователей уязвимыми для загрузки вредоносных программ и фишинговые атаки. Лакшманан пишет:
Проблема связана с использованием вредоносного исполняемого кода JavaScript на произвольном веб-сайте, чтобы заставить браузер обновлять адресную строку, пока страница все еще загружается на другой адрес по выбору злоумышленника ... (A) n злоумышленник может создать вредоносный веб-сайт и заманить таргетинг на открытие ссылки из поддельного электронного письма или текстового сообщения, тем самым подталкивая ничего не подозревающего получателя к загрузке вредоносного ПО или рискуя украсть его учетные данные.
По состоянию на конец октября UCWeb и Bolt не получали исправлений, исправление для Opera ожидалось в ноябре, а Safari решила проблему с помощью обновления.
SSL.com предоставляет широкий выбор SSL /TLS сертификаты сервера для сайтов HTTPS.