Как вернуть зелёный индикатор TLS в новом Firefox 70?
С версий Chrome 77 и Firefox 70 (вышел 22.10.2019) дизайнеры приняли решение убрать зелёный «замочек», который сигнализирует о наличии TLS-сертификата. Более того, EV-сертификаты с расширенной проверкой теперь никак не выделяются. Но разработчики Firefox 70 оставили возможность вернуть привычный...
Comcast лоббирует запрет на шифрование DNS
Иллюстрация из статьи zhovner «Google Public DNS тихо включил поддержку DNS over TLS» Mozilla и Google продолжают продвигать протокол шифрования DoH. Его уже внедрили в ранние альфы Firefox и Chrome. Шифрование DNS-запросов поддерживают Google Public DNS, Cloudflare DNS и другие резолверы....
Между креслом и монитором сидит главная уязвимость в системе: VAP-персона
Источник: Proofpoint Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-то другое действие. Такова...
Зачем компании управлять смартфонами сотрудников?
В начале октября на Хабре обсуждалась утечка данных из «Сбербанка». Один из сотрудников банка продал информацию о тысячах или миллионах клиентов: ФИО, номер паспорта, номер карты, дата рождения, адрес и т. д. Сама по себе новость рядовая: такую приватную информацию о клиентах продают сотрудники...
Chrome полностью заблокирует смешанный контент
Загрузка картинок с незащищённых сайтов тоже будет блокироваться Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас...
Mozilla пообещала не включать шифрование DoH в Великобритании. Что это значит для России?
Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS —...
Альтернатива центру сертификации от Microsoft
Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов. Среда тоже враждебна. 74% организаций разрешают приносить на...
Сертификаты EV SSL: есть ли жизнь после смерти?
В новых версиях Chrome 77 и Firefox 70 (выйдет 22 октября) EV-сертификаты с расширенной проверкой лишились своего привычного места в адресной строке. Теперь они на первый взгляд не отличаются от обычных DV-сертификатов, которые валидируют домен. Дополнительная информация о компании раскрывается...
Мозг — последний рубеж приватности
Очки Google Glass с нейроинтерфейсом NeuroSky MindWave для ЭЭГ мозга 24 сентября 2019 года стало известно, что Facebook купил разработчика нейроинтерфейсов CTRL-Labs. Очки Google Glass совместимы с ЭЭГ-монитором NeuroSky через open-source приложение MindRDR. 16 июля 2019 года стартап Илона Маска...
Firefox и Chrome будут шифровать DNS-запросы и обходить цензуру
Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес или его большую часть, что можно легко объединить с другой информацией, чтобы установить вашу личность. Из статьи Лин Кларк «DoH в картинках» На Хабре неоднократно рассказывали о...
DPI (инспекция SSL) противоречит смыслу криптографии, но компании её внедряют
Цепочка доверия. CC BY-SA 4.0 Yanpas Инспекция трафика SSL (расшифровка SSL/TLS, анализ SSL или DPI) становится все более горячей темой обсуждения в корпоративном секторе. Идея расшифровки трафика вроде бы противоречит самой концепции криптографии. Однако факт есть факт: всё больше компаний...
Суд США полностью легализовал скрапинг сайтов и запретил ему технически препятствовать
Вчера Апелляционный суд 9-го округа США принял решение (pdf), что скрапинг публичных сайтов не противоречит закону CFAA (Computer Fraud and Abuse Act). Это действительно важное решение. Суд не только легализовал эту практику, но запретил мешать конкурентам снимать информацию с вашего сайта в...
Обмен секретными сообщениями через серверные логи
Согласно определению в Википедии, тайник (dead drop) — это инструмент конспирации, который служит для обмена информацией или какими-то предметами между людьми, использующими секретное местоположение. Смысл в том, что люди никогда не встречаются — но при этом обмениваются информацией, поддерживая...
Google приводит аргументы для оправдания трекинга пользователей — компанию упрекают в неискренности и манипуляциях
22 августа 2019 года директор по разработке браузера Chrome Джастин Шух (Justin Schuh) опубликовал программную статью «Создавая более конфиденциальный веб». В ней: Объявлено об инициативе по разработке ряда открытых стандартов для «фундаментального улучшения конфиденциальности в вебе» — Privacy...
Небольшой мод превращает «Теслу» в станцию видеонаблюдения
Программа Surveillance Detection Scout обнаружила знакомого человека и предлагает кадры из архива с его лицом Правительства многих стран разворачивают системы слежки за населением через сеть видеокамер. Но граждане могут использовать этот инструмент и в своих целях. Исследователь безопасности...
Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA
В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть....
Зачем нужен собственный удостоверяющий центр
Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями...
Режим «инкогнито» в браузере — это фикция?
30 июля компания Google выпустила Chrome 76 с улучшенным режимом инкогнито. Теперь браузер обходит «пейволы», которые ставят читателям лимит на «несколько статей в месяц», а потом требуют подписку или регистрацию. Например, The New York Times позволяет читать десять статей в месяц, а Wired —...