Apple bude odmítat v Safari HTTPS/SSL certifikáty s platností delší než 13 měsíců. Jednostranné rozhodnutí Apple

Apple bude odmítat v Safari HTTPS/SSL certifikáty s platností delší než 13 měsíců. Jednostranné rozhodnutí Apple, stávající maximální délka platnosti certifikátu je dva roky (dříve to bylo dokonce pět let). Radost z toho budou mít ti, kdo certifikáty vystavují za peníze. Bezpečnost to reálně nijak neovlivní ale pro provozovatele webů to přinese jen další zbytečné…

Chrome 66 zahájí konec certifikátů od PKI Symantecu.

O pár verzí později přijde i konec těch, které se Symantec mají také něco společného – Thawte, Verisigń, Equifax, GeoTrust a RapidSSL. Někdy zhruba v říjnu 2018 tedy můžete očekávat menši apokalypsu. Viz Distrust of the Symantec PKI: Immediate action needed by site operators

iPhone (iPad) posílá Exchange heslo v nešifrovaném stavu.

iPhone (iPad) posílá Exchange heslo v nešifrovaném stavu. V LeakyX the vulnerability that Apple and Microsoft has known about for years je docela zajímavé čtení o tom, jak se nikdo nemá k opravě. V LeakyX Update on iOS 11 testing zjistíte, že ani iOS 11 to nevyřešil.

Cloudflare systémy zprostředkovávaly osobní informace uživatelů.

Cloudflare systémy zprostředkovávaly osobní informace uživatelů. Chyba je napravena a podle Cloudflare nedošlo k žádnému zneužití hackery. Nepříjemné je, že Cloudflare slouží značnému množství webů (miliony), které se spoléhají i na to, že informace o jejich návštěvnicích jsou v bezpečí. Chyba vedla k zpřístupňování šifrovaných informací, přenášených mezi weby a návštěvníkem. Viz Bug causes personal…

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů.

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů. V Newly discovered flaw undermines HTTPS connections for almost 1,000 sites mezi postiženými najdete například i www.blesk.cz. Chyba K05121675: F5 TLS vulnerability CVE-2016-9244 se netýká přímo samotného webu, ale používaných zařízení pro load balancing či firewallu. Další detaily též viz Ticketbleed (CVE-2016-9244)  

Stovky SSL certifikátů obsahující slovo „PayPal“

Stovky SSL certifikátů obsahující slovo „PayPal“. K čemu asi tak budou sloužit? Jak zjistíte v CERTIFIED MALICE (a jak asi tušíte), tak samozřejmě pro phishing/rhybaření. Prostě něco jako www_paypal.com-cokolivsivzpomenete_com (místo teček jsou uvedena podtržítka). A teď, babo raď, co s tím?

Thajsko se chystá uplatnit MITM na veškerý tamní internetový provoz.

Thajsko se chystá uplatnit MITM na veškerý tamní internetový provoz. Tedy alespoň to plyne z Internet laws a time-bomb a nutno podotknout, že něco takového je technicky možné a je to také nejzásadnější narušení bezpečnosti, soukromí a vůbec všeho. Ale zase to bude dobrá inspirace pro Andreje Babiše, až bude za pár měsíců chtít ještě…