我们从夏季中旬开始实况报道,很高兴为您带来数字安全领域的XNUMX月摘要! 本月我们将看一下:
- 微软在安全游戏中获得优势
- 在Chrome 85中将图像自动升级到HTTPS
- Apple,Chrome和Firefox切换到398天证书
- Microsoft强制弃用 TLS Office 1.0的1.1和365
NSS Labs授予Microsoft Edge在网上诱骗和恶意软件防护方面的最高评价
到目前为止,事实证明,Microsoft Edge是老牌浏览器的重要竞争对手,而新更新只会巩固其地位。 一个 报告 《福布斯》的凯特·奥弗莱厄蒂(Kate O'Flaherty)撰文指出,它仍然可能是整体浏览器的第二名,但是最近的更新使其在安全性方面首屈一指。 从 《福布斯》文章:
但是新的报告是 NSS实验室 实际上看到了微软的Edge在安全方面胜过Chrome。 因为它使用 Microsoft Defender 智能屏幕与其他经过测试的浏览器相比,Edge被发现提供了最佳的网络钓鱼防护,阻止了95.5%的网络钓鱼URL。 Google,使用 安全浏览API,以86.9%位居第二。
作为Microsoft重点站点 OnMsft 报告称,NSS Labs的另一份独立报告显示,Edge还具有比竞争对手Chrome,Firefox和Opera更强的恶意软件防护能力。 Microsoft Edge阻止了98.5%的恶意软件,而第二名Firefox则平均阻止了86.1%,其次是Google Chrome,达到了86.0%。
当然,这是一个专注于浏览器安全性的好时机,因为越来越多的工作和操作从办公室转移到分散的在家工作模式。 我们将密切关注Edge不断推出的更新,并在浏览器争夺市场主导地位时进行观察。
即将在夏季结束前在Chrome 85中将图像自动升级到HTTPS
在全面实施HTTPS的另一步骤中,Chrome的下一个主要版本将自动将通过HTTP服务的图像从HTTPS网站升级到更安全的协议。 在将于85月25日稳定发布的Chrome XNUMX中,HTTPS将是HTTPS网站提供的图像的唯一选择-如果不可用,则图像将不会在Chrome中显示。
像往常一样,Chromium博客 有更多的细节:
Chrome现在 自动升级图像 通过将URL重写为HTTPS来从HTTPS站点通过HTTP提供服务,而在安全内容不可用时不回退到HTTP。 从80版开始,Chrome一直在自动升级音频和视频内容。
这是向前迈出的重要一步,也提醒 消除混合内容 在网站上!
Chrome和Firefox遵循Apple的398天证书
好吧,这是官方的。 自1月XNUMX日起,所有Apple软件都将(基本上)拒绝SSL /TLS 有效期超过398天的证书。 业界已经知道这将从398月开始发生,因此,尽管仍然值得注意,但真正的消息是Chrome和Firefox正式效仿,Mozilla准备在其浏览器中切换到XNUMX证书,并且 Chromium源代码中的确认 Chrome也将从1月XNUMX日开始执行相同的标准。
登记册报告了“伪造”两年证书的情况 在Shaun Nichols的一篇文章中 关于更改:
苹果公司认为此政策可确保网站和应用程序每年更新一次证书,从而鼓励它们使用最新的加密标准,并确保被盗的证书不能用于长期的网络钓鱼活动和其他恶作剧,因为它们很快就会过期。
…可以说,证书出售者对更改感到恼火。 西班牙认证公司Firmaprofesional嗅到:“从我们的角度来看,苹果公司的单方面决定不符合投票结果,因此CA / B论坛显得有些无用。
种种迹象表明,每个人都遵循Apple缩短证书寿命的方法。 目前,微软尚未宣布将要做什么,但是鉴于该公司的Edge浏览器使用Chrome作为引擎,因此很容易得出结论。
Microsoft强制弃用 TLS Office 1.0的1.1和365
在大流行相关的延迟之后,微软将正式 开始执行折旧 的 TLS Office 1.0中的1.1和365协议(众所周知是不安全的)。该协议实际上已于31年2018月15日弃用。而且,据Microsoft称,强制实施已重新设置,应于2020月XNUMX日启动并运行,XNUMX年。
老实说,这不会影响太多用户,因为Office客户端可以使用 TLS 1.2(如果本地计算机支持)。 但是,可能值得注意的是 TLS 如果没有Windows 1.2,Windows 7将不可用 KB 3140245更新。 那些希望对变更进行技术概述的人可以前往 微软博客,这解释了一切。