Рубрика «Блог компании GlobalSign» - 11

в 8:42, , рубрики: chrome, Google, Google Chrome, seo, Блог компании GlobalSign, браузеры, информационная безопасность, история браузера, кнопка Back, конкурентная разведка, поисковая оптимизация

Хакер нашёл способ следить за посетителями сайтов конкурентов - 1

Простой скрипт изменяет поведение кнопки Back в браузере и подменяет исходную поисковую выдачу, направляя пользователей на контролируемые хакером копии сайтов конкурентов

Распространённый паттерн: открыть страницу поиска в Google и щёлкать по разным результатам в поисках нужной информации. Можно открыть десятки отдельных вкладок или ходить на каждый сайт по очереди, возвращаясь затем на поисковую выдачу (кнопка Back в браузере). Специалист по поисковой оптимизации Дэн Петрович из австралийской компании Dejan Marketing придумал, как эксплуатировать этот паттерн с выгодой для себя и получить обширную статистику посещений сайтов конкурентов, лишив их трафика.

Схема показана на иллюстрации вверху. Перехватывая трафик конкурентов, специалист получает возможность:

  • генерировать теплокарты чужих сайтов (клики, переходы, глубина прокрутки)
  • записывать реальные сессии (движения мыши, нажатия клавиатуры)
  • получать весь текст из заполненных форм, в том числе форм для заказа товаров

Читать полностью »

в 8:43, , рубрики: DocuSign, HelloSign, PDF Signing, Блог компании GlobalSign, будущее здесь, информационная безопасность, транспорт будущего, факсимиле, физическая подпись, цифровая подпись

23 июля Илон Маск, директор компании Tesla Motors, которая выпускает известные электромобили, поделился планами: «Мы собираемся полностью избавиться от контрактов, — написал он в твиттере. — Должна быть просто кнопка „Нажмите здесь — и получите свою машину”. А затем, если она вам по каким-то причинам не понравится, то вы просто возвращаете её, как любой другой товар».

Маск написал это в ответ автовладельцу JD Mankovsky: тот пожаловался что его сестра пришла покупать Tesla X — и очень долго ожидала, пока в салоне закончат оформление всех бумаг, Вероятно, там возникли какие-то непредвиденные проблемы. Девушка пришла в салон в 14:00, но смогла уехать на своём автомобиле только в 21:00.

Инновационный автомобиль, который получает апгрейды через интернет, технологии будущего — но людей заставляют ставить физическую подпись на бумаге, как в средние века.
Читать полностью »

в 7:21, , рубрики: css, Firefox, gmail, Блог компании GlobalSign, браузеры, иллюзия безопасности, информационная безопасность, конфиденциальный режим, электронная почта

Firefox легко обходит защиту в новом интерфейсе Gmail - 1

Недавно компания Google представила новый дизайн Gmail. При желании каждый пользователь может перейти на него, а скоро всех пользователей G Suite переведут принудительно.

В этом дизайне реализовано несколько новых функций безопасности, в том числе так называемый конфиденциальный режим. Здесь отправитель устанавливает срок действия письма, после которого оно «исчезает». По крайней мере, так должно работать. На самом деле есть несколько способов обойти эту защиту, сохранить полученное сообщение, скопировать или распечатать.
Читать полностью »

в 12:18, , рубрики: GREASE, IT-стандарты, SSL, tls 1.3, Блог компании GlobalSign, информационная безопасность, криптография

Постоянная генерация альтернативных версий TLS решит проблему «окостенения» старого протокола - 1

Работа над новой версией протокола TLS 1.3 практически завершена. После четырёх лет обсуждения в марте 2018 года комитет IETF утвердил 28-ю версию черновика в качестве предложенного стандарта, так что она должна стать последней перед принятием окончательных спецификаций.

TLS 1.3 примерно вдвое ускоряет процесс установления безопасного соединения за счёт объединения нескольких шагов на этом этапе. Кроме того, в нём реализован режим совершенной прямой секретности через эфемерные ключи (EC)DH. Этот режим гарантирует защиту сессионных ключей даже в случае компрометации ключей долговременного пользования.
Читать полностью »

в 8:37, , рубрики: api, Bouncy Castle, LibrePDF, open source, OpenPDF, PDFBox, pkcs#12, veraPDF, Блог компании GlobalSign, генерация pdf, Софт

Неделю назад состоялся релиз свободной библиотеки для генерации pdf-файлов версии OpenPDF 1.1.0, самый значительной апгрейд этой библиотеки за последнее время.

OpenPDF — это Java-библиотека для создания и редактирования файлов PDF, которая распространяется под двойной лицензией LGPL/MPL. Библиотека основана на форке iText. В реальности у неё такая история:

LibrePDF/OpenPDF

forked from rtfarte/OpenPDF

forked from kulatamicuda/iText-4.2.0

forked from daviddurand/iText-4.2.0

forked from ymasory/iText-4.2.0

Все форки ведут историю от одной версии iText 4.2.0, которая вышла восемь лет назад и стала последней версией под свободной лицензией. Сами разработчики iText перешли на AGPL и сконцентрировались над созданием пятой версии, чтобы более успешно продавать коммерческий софт. К настоящему времени они доросли до версии iText 7. Но свободный проект тоже не погиб, а продолжил развитие силами всего сообщества.
Читать полностью »

в 8:12, , рубрики: Activities API, api, office 365, outlook, Блог компании GlobalSign, информационная безопасность, криминалистика, Разработка для Office 365

В Office 365 Outlook нашли недокументированные API c подробными логами активности пользователя - 1

Детальные логи Office 365 Outlook, извлечённые программой Magic-Unicorn-Tool: злоумышленник ищет счёт на оплату (payment invoice). Первая буква поискового запроса введена в 10:42:44.548, последняя в 10:43:07.214. Информация об активности хранится в логах шесть месяцев

Долгое время ходили слухи, что в Office 365 есть встроенный секретный инструмент для записи активности пользователей. В июне 2018 года эти слухи подтвердились в полной мере. Всё началось с видеоролика, опубликованного Anonymous, а потом уже специалисты CrowdSrtike выложили подробный отчёт.

Microsoft внедрила в почтовый клиент Activities API не для каких-то злонамеренных целей, а для задач цифровой криминалистики, то есть расследования инцидентов со взломом корпоративной почты и другими утечками данных. Для этого ведётся подробнейший лог активности за шесть месяцев даже если пользователь отключил журналирование.
Читать полностью »

в 7:40, , рубрики: PSK, SAE, WPA3, Блог компании GlobalSign, информационная безопасность, криптография, Сетевое оборудование, слабые пароли, Стандарты связи

Началась сертификация устройств WPA3: слабые пароли стали более безопасными - 125 июня 2018 года Wi-Fi Alliance официально представил программу сертификации Wi-Fi CERTIFIED WPA3. Это первое за последние 14 лет обновление протоколов безопасности Wi-Fi.

По заявлению альянса, WPA3 (Wi-Fi Protected Access 3) «добавляет новые функции для упрощения безопасности Wi-Fi, обеспечения более надёжной аутентификации, повышения криптографической стойкости для высокочувствительных рынков данных и обеспечения отказоустойчивости критически важных сетей». Во всех сетях WPA3:

  • Используются последние методы безопасности
  • Запрещены устаревшие протоколы
  • Обязательна функция защиты управляющих фреймов от компрометации PMF (Protected Management Frames)

Читать полностью »

в 7:35, , рубрики: Nocaptcha, recaptcha, анализ рисков, Блог компании GlobalSign, информационная безопасность, поведенческий анализ, Разработка веб-сайтов

Третья версия reCAPTCHA срабатывает в фоне незаметно для пользователей - 1В мае этого года на конференции конференции Google I/O 2018 представили третью версия технологии reCAPTCHA — reCAPTCHA v3 (бета). Как известно, это самая популярная система типа CAPTCHA, которая создана для блокировки ботов, то есть автоматизированных действий на разных сервисах.

Систему критиковали за эксплуатацию бесплатного человеческого труда (в случае первой версии, которую Google использовала для оцифровки книг), за осложнение жизни людям с нарушениями зрения и другими болезнями вроде дислексии. Ещё reCAPTCHA критикуют за излишнюю сложность: людям трудно или невозможно правильно ответить на вопрос: тест становится просто абсурдным. На иллюстрации слева показы несколько примеров с первой версии reCAPTCHA. Ситуация не слишком улучшилась с выпуском второй версии (где нужно выбрать картинки, содержащие указанный объект).

Но третья версия — совершенно другое дело. Она точно никому не помешает, потому что работает незаметно для пользователей, используя методы поведенческого анализа.
Читать полностью »

в 13:58, , рубрики: api, Code Signing API, Fat/Universal, Блог компании GlobalSign, информационная безопасность, подпись кода, Разработка под MacOS

Публичное раскрытие уязвимости в сторонней проверке подписи кода Apple

В отличие от некоторых предыдущих работ, данная уязвимость не требует прав администратора, не требует JIT-кода или повреждения памяти для обхода проверки подписи кода. Всё что нужно — правильно отформатированный файл Fat/Universal, и проверка подписи кода покажет валидный результат.

Резюме

  • Найденный обход применяемого сторонними разработчиками API для подписи кода позволяет представить любой код как подписанный Apple.
  • Все известные вендоры и проекты с открытым исходным кодом уведомлены (см. список ниже). Для них доступны патчи.
  • Есть вероятность, что проблема затрагивает другие сторонние программы, где используются официальные API подписи кода от Apple.
  • Разработчики несут ответственность за правильное использование API подписи кода. Есть инструменты демо-взлома (PoC) для тестов.
  • Относится только к macOS и более старым версиям OSX.

Читать полностью »

в 9:44, , рубрики: Firefox, open source, Project Fusion, Блог компании GlobalSign, браузеры, информационная безопасность, слияние

Запущен проект Fusion по слиянию Tor Browser и Firefox - 1Активисты Tor объявили о начале проекта FUSION (переводится как «слияние», но одновременно представляет собой аббревиатуру Firefox USIng Onions). Это проект по интеграции функций Tor Browser непосредственно в Firefox.

Как известно, Tor Browser строится на основе Firefox ESR с кучей патчей, специфических для Tor. Разработчикам анонимного браузера не очень удобно тратить время на перебазирование этих патчей из одного репозитория в другой. Поэтому несколько лет назад совместно с Mozilla был организован проект Uplift, который предусматривал автоматическое включение патчей Tor Browser в кодовую базу Firefox. На протяжении последних полутора лет новые функции информационной безопасности одновременно внедрялись в Tor Browser и Firefox. Это изоляция элементов (First-Party Isolation, настройка privacy.firstparty.isolate в Firefox 52+, она же часть ключевой системы Cross-Origin Identifier Unlinkable, которая обеспечивает анонимность в Tor Browser), система противодействия фингерпринтингу, в том числе фингерпринтингу по установленным шрифтам, противодействие фингерпринтингу по HTML5 canvas, новая настройка privacy.resistFingerprinting в Firefox 59+ и т. д.

Теперь наступило время для следующего этапа: более плотной интеграции и в конечном итоге полного слияния Firefox и Tor Browser.
Читать полностью »

1...101112...13
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js