2019年XNUMX月安全摘要

十月份的综述涵盖了Chrome中的混合内容,Pixel 4和sudo中的安全漏洞,Firefox的安全性以及Google的量子计算技术的进步。

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

欢迎使用SSL.com的2019年XNUMX月版 安全综述,这是月末摘要,我们重点介绍SSL /TLS,数字证书和数字安全性。

在本月的浏览器前端,Google已决定开始 阻止混合内容 在Chrome中,而Mozilla Firefox已被命名为 最安全的浏览器 由德国信息安全机构提供。

在其他与安全相关的新闻中,目前Google的Pixel 4的面部解锁系统 缺乏警觉性检查,Linux用户应 升级须藤,而Google研究人员已在 自然 详细介绍 量子计算的进步.

Google将阻止Chrome中的所有混合内容

Chromium博客 公布 从3年2019月XNUMX日开始,Chrome将很快开始阻止所有 混合内容,其中子资源的条件 HTTPS 网站通过HTTP安全加载。 到目前为止,浏览器一直处于封锁状态 要积极。 混合内容,例如脚本和iframe。 Chrome现在将开始阻止 被动 混合内容(例如图像,音频和视频),也存在安全风险。 例如,

攻击者可能篡改股票图表的混合图像以误导投资者,或将跟踪cookie注入混合的资源负载中。 加载混合内容还会导致浏览器安全性UX混乱,该页面的显示既不安全也不安全,而是介于两者之间。

Google阻止混合内容的举动将采取一系列步骤,从Chrome 79(2019年81月稳定版)开始,一直到Chrome 2020(XNUMX年XNUMX月初发布)。

为了尽可能避免破坏网络,Chrome会尝试自动将HTTP资源升级到HTTPS(如果可用),并且允许用户逐站点启用混合内容。

SSL.com的要点: Google采取的行动只是抛弃您网站上混合内容的多个良好理由中的最新事,我们希望其他浏览器会早日效仿。 阅读SSL.com的文章, 到处都是HTTPS:删除混合内容以改善SEO,然后确保您的网站已配置为可以投放 所有 HTTPS获得资源。

德国代理商将Firefox命名为“最安全的浏览器”

德国联邦信息安全局的审核(以德语显示, 信息技术学院,或BMI)宣布Mozilla Firefox是唯一经过测试的浏览器,符合该机构最近更新的最低要求 被考虑 谢尔 (原谅我们 德语)。 根据 网易科技,

BSI通常使用本指南就可以安全使用哪些浏览器向政府机构和私营部门的公司提供建议。

经过测试的浏览器包括Firefox 68,Chrome 76,IE 11和Edge44。ZDNet的 刊文 还指出测试“不包括其他浏览器,例如Safari,Brave,Opera或Vivaldi。”

SSL.com的要点: 我们喜欢Firefox,但也要注意,根据当前浏览器UI趋势,BMI的准则要求安全的浏览器“必须支持扩展验证(EV)证书”。 还值得指出的是,该准则表明浏览器“必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书。” (请参阅我们最近的 刊文 在浏览器吊销上检查有关此主题的更多信息。)

保持清醒的像素4

如发现 克里斯福克斯在英国广播公司,Google的Pixel 4智能手机具有人脸解锁系统,“即使他们闭上眼睛,也可以访问他人的设备”。 相比之下,Apple的iOS Face ID确实包括警报检查,以确保用户醒着并看着手机。 Google表示将解决问题,“在接下来的几个月里设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“

SSL.com的要点: 如果您拥有Pixel 4,建议您通过启用以下功能来禁用面部解锁功能 锁定模式 直到Google添加检查的机密性。 或者,您可以避免在修复程序到来之前在Pixel 4附近睡觉(或死亡)。

Sudo Flaw让用户以root用户身份运行命令

An 14月XNUMX日的故事 在Hacker News(黑客新闻网,不 新闻.ycombinator.com)概述了常用的新发现的漏洞 sudo 命令,“即使'sudoers配置'明确禁止root用户访问,也可以允许恶意用户或程序在目标Linux系统上以root用户身份执行任意命令。”

安全缺陷,取决于具体的配置 /etc/sudoers 文件,影响sudo 1.8.28之前的所有版本。 通过指定用户ID可以利用它 -1 or 4294967295 在命令行上。

SSL.com的要点: 如果尚未更新sudo,请尽快更新。

Google的量子计算突破

布洛赫球
来源: 维基共享资源

23月XNUMX日,Google的研究人员发表了一篇 in 自然报道说他们的新型量子处理器“无花果”

对一个量子电路的一个实例进行一百万次采样大约需要200秒-我们的基准测试表明,最新的经典超级计算机的等效任务大约需要10,000年。

然而,CBS新闻 刊文 表示此发现围绕着一些争议,IBM研究人员指出,谷歌“低估了称为Summit的传统超级计算机,并说它实际上可以在2.5天内进行计算。” 可能并非巧合,Summit由IBM开发。

SSL.com的要点: 量子计算给互联网安全带来的危险尚未到来,但留意这一领域的发展是明智的。 特别值得注意的是 ECDSA密钥Shor算法在足够大的量子计算机上的实现.

感谢您访问SSL.com,我们相信 更安全 互联网是一个 更好 互联网! 您可以通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。


我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。