V říjnu začne Chrome (verze 62) varovat návštěvníky HTTP webů, že formuláře nejsou bezpečné

V říjnu začne Chrome (verze 62) varovat návštěvníky HTTP webů, že formuláře nejsou bezpečné. Vcelku nic nového, Google o tomhle už několik měsíců mluví. Varování se objeví i pokud na HTTP stránku vejdete v anonymním/incognito režimu. Tento týden začal Google e-mailem varovat správce webů, viz Google emails warnings to webmasters that Chrome will mark http…

Kdosi provozující přihlášení přes nešifrované HTTP si u Mozilly stěžuje na chybu ve Firefoxu

Kdosi provozující přihlášení přes nešifrované HTTP si u Mozilly stěžuje na chybu ve Firefoxu. Vadí mu, že nové verze Firefoxu posílání hesel přes nešifrované spojení označují za nebezpečné. Viz Firefox gets complaint for labeling unencrypted login page insecure kde najdete i formulaci k neuvěření, kterou onen člověk použil. A také to, že jim to už…

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů.

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů. V Newly discovered flaw undermines HTTPS connections for almost 1,000 sites mezi postiženými najdete například i www.blesk.cz. Chyba K05121675: F5 TLS vulnerability CVE-2016-9244 se netýká přímo samotného webu, ale používaných zařízení pro load balancing či firewallu. Další detaily též viz Ticketbleed (CVE-2016-9244)  

Symantec opět vydává nebezpečné HTTPS certifikáty

Symantec opět vydává nebezpečné HTTPS certifikáty. Nejde přitom o žádnou maličkost, přes stovku vydaných certifikátů nikdy neměli vydat, ohrožují bezpečnost a umožňují v řadě případů odposlouchávat https komunikaci. Viz Already on probation, Symantec issues more illegit HTTPS certificates a Misissued/Suspicious Symantec Certificates kde najdete příklad certifikátů vydaných pro example.com o které vlastník nežádal.

Stovky SSL certifikátů obsahující slovo „PayPal“

Stovky SSL certifikátů obsahující slovo „PayPal“. K čemu asi tak budou sloužit? Jak zjistíte v CERTIFIED MALICE (a jak asi tušíte), tak samozřejmě pro phishing/rhybaření. Prostě něco jako www_paypal.com-cokolivsivzpomenete_com (místo teček jsou uvedena podtržítka). A teď, babo raď, co s tím?

Chrome by od ledna 2017 mělo začít ne-https připojení označovat červenou výstrahou

Chrome by od ledna 2016 2017 mělo začít ne-https připojení označovat červenou výstrahou jako „not secure“. Nic proti tomu, ale bylo by do té doby vhodné vyřešit realizaci https webů lépe než buď za těžké peníze za certifikáty nebo s pomocí ne zcela jednoduchých levných/zdarma náhrad. A umět pochopit, že i použití https má různé…

WPAD je zneužitelné pro odhalení kompletní URL šifrované (https) komunikace.

WPAD je zneužitelné pro odhalení kompletní URL šifrované (https) komunikace. V New attack bypasses HTTPS protection on Macs, Windows, and Linux to sice chvíli vypadá, jako kdyby kompletně přestalo fungovat šifrování, ale jde opravdu jenom o odhalení URL se kterou uživatel přes https komunikuje. Což v některých případech může být dostatečně nebezpečné. Možná náprava je…

The sad state of Linux download security je poučné čtení

The sad state of Linux download security je poučné čtení hlavně v tom, že opět zjistíte staré známe, lidé co netuší absolutně nic mívají ten nejpevnější názor a také záhadnou snahu urážet lidi, kteří vědí o čem mluví. Ale jinak je to hlavně užitečný přehled o tom, jak se jednotlivé distribuce Linuxu chovají k zásadním…