欢迎来到 SSL.com 安全综述 XNUMX 月版! 对于这个非常特别的万圣节版本,我们的内容保持不变。 毕竟,还有什么比数字安全担忧和错误加密更令人毛骨悚然的呢?
您知道 SSL.com 现在也有电子邮件通讯吗? 填写下面的表格以接收 PKI 和此类数字安全新闻,以及来自 SSL.com 的产品和服务信息。 (您可以随时通过单击 退订 我们发送的每封电子邮件中的链接。):
美国与六个国家一起呼吁后门加密访问
掌权者再次呼吁为加密设置所谓的“后门”。 这一次,根据 一触即发,美国正在加入英国、澳大利亚、新西兰、加拿大、印度和日本 在国际声明中 要求执法机构访问。 罗素布兰登写道:
司法部在反加密宣传方面有着悠久的历史。 2018 年,七个参与国中有五个在给科技公司的公开备忘录中表达了类似的疑虑,尽管该备忘录导致该行业在这个问题上几乎没有取得任何进展。 在每一个转折点,科技公司都坚持认为,任何为执法而建立的后门都将不可避免地成为犯罪分子的目标,并最终使用户的安全性降低……至关重要的是,这七个国家不仅会寻求访问传输中的加密数据——例如终端—— WhatsApp 使用的端到端加密——但也包括本地存储的数据,如手机内容。
毫不奇怪,科技公司和隐私权倡导者也公开反对该声明 与其他阻止加密的尝试一样 由现有的权力。
Android 11 收紧对 CA 证书的限制
蒂姆·佩里 Android 工具包中的报告 11 月 11 日发布的 Android XNUMX 使得“任何应用程序、调试工具或用户操作都无法提示安装 CA 证书,即使是默认情况下不受信任的用户管理的证书存储。 现在安装任何 CA 证书的唯一方法是使用隐藏在设置深处的按钮,在应用程序无法链接到的页面上。”
为什么这很重要? 好吧,虽然 CA 管理应该受到仔细控制,但应用程序有可能选择哪些是受信任的。 例如,开发人员将其用于测试,而这种变化使这变得更加困难。 尽管如此,从安全的角度来看,很难说这种变化是一种损失。 提示用户安装的应用 根证书 可能会导致各种问题,例如让坏人访问冒充网站和解密互联网流量。
Zoom 表示端到端加密已准备就绪
对于 Zoom 来说,这是重要的一年,这家公司首先成为头条新闻,作为在大流行锁定期间让我们所有人联系的一种方式,然后由于安全问题,允许不受欢迎的人也与所有人联系而成为头条新闻。 在最近一项改善隐私和安全性的举措中,Zoom 宣布其端到端加密的实施已准备好进行预览。
当然, 作为西蒙·沙伍德的一篇文章 在 The Register 中指出,Zoom 在 XNUMX 月份声称拥有自己的“端到端加密”品牌,但当时该公司的应用 TLS HTTPS 意味着 Zoom 本身可以拦截和解密聊天——流量仅“从 Zoom 端点到 Zoom 端点”进行加密。 现在Zoom已经宣布 它将提供 真正的端到端加密,不允许他们访问聊天。
然而,正如 The Register 所指出的,有一个问题:
[su-note class="信息"]SSL.com的要点: 作为 Zoom 的日常用户,我们对它在安全性方面参差不齐的记录表示赞赏。 但是,端到端加密应该是默认设置,而不是每次都需要选择。[/su_note]不要以为预览版意味着 Zoom 已经消除了安全性,因为该公司表示:“要使用它,客户必须在帐户级别启用 E2EE 会议,并在每次会议的基础上选择加入 E2EE”......用户拥有不断被提醒使用非垃圾密码,不要点击网络钓鱼或泄露个人设备上的业务数据,他们几乎肯定会每次都选择 E2EE,而无需提示,对吧?
流行的移动浏览器和 Safari 容易受到地址栏欺骗攻击
在网络安全研究人员发布的坏消息中,一些浏览器地址栏似乎容易受到欺骗。 拉维·拉克什马南 黑客新闻 报告称,Apple Safari 和 Opera Touch 和 Bolt 等移动浏览器对欺骗持开放态度,这使得毫无戒心的用户容易下载恶意软件和 网络钓鱼攻击. 拉克什马南写道:
该问题源于在任意网站中使用恶意可执行 JavaScript 代码来强制浏览器在页面仍在加载到攻击者选择的另一个地址时更新地址栏...... (A)n 攻击者可以建立一个恶意网站并引诱目标是打开欺骗性电子邮件或短信中的链接,从而导致毫无戒心的收件人下载恶意软件或冒着被盗凭据的风险。
截至 XNUMX 月底,UCWeb 和 Bolt 尚未收到修复,预计 XNUMX 月将修复 Opera,Safari 已通过更新解决了该问题。
SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。
