Рубрика «chrome» - 11

в 12:01, , рубрики: chrome, HSTS, Сетевые технологии, системное администрирование

Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

TL;DR: Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов.

Что такое HSTS?

HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

Динамические

Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;

Статические

Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

Список из Chromium используют все популярные браузер (Firefox, Safari и IE 11+Edge) и любой желающий может отправить заявку на добавление после соответствующей настройки. Веб-сервер также должен отдавать заголовок со сроком действия от двух лет и ключевым словом preload в конце:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Читать полностью »

в 8:19, , рубрики: chrome, startcom, WoSign, браузеры, информационная безопасность, сертификат, сертификаты, удостоверяющий центр

Google Chrome перестал доверять сертификатам WoSign и StartCom - 1

Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.

Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.

Читать полностью »

в 9:24, , рубрики: chrome, Discord, javascript, Service Workers, slack, WebSocket, WebView, браузеры, Программирование

Chrome 57 будет активно подавлять работу фоновых вкладок - 1

Ближайшие изменения в браузере Chrome вряд ли порадуют разработчиков Slack, Discord и других программ, которые работают во вкладках браузера. В бета-версии Chrome 56 реализован новый механизм оптимизации таймеров для фоновых вкладок.

На первый взгляд, инициатива разработчиков выглядит хорошим делом. В сентябрьском плане внедрения (Intent to Implement) объясняются причины, которые сподвигли разработчиков на такое решение.

Главная причина — некоторые плохо спроектированные приложения (например, скрипты аналитики и javascript-реклама) потребляют много ресурсов CPU, хотя находятся в фоновом режиме. Это негативно отражается на производительности браузера и потребляет энергию аккумулятора на мобильных устройствах. Такая обработка активности в фоновых вкладках совершенно ни к чему. Идея состоит в том, чтобы установить максимальный лимит вычислительных ресурсов, которые можно дать фоновому приложению.
Читать полностью »

в 5:02, , рубрики: chrome, dsecrg, Блог компании «Digital Security», браузеры, защита, информационная безопасность, эксплоит

image

Мы продолжаем цикл статей о механизмах защиты браузеров от эксплойтов:

Давайте заглянем под капот браузера Chrome и выясним, что есть в его анти-эксплоит арсенале.

Читать полностью »

в 17:29, , рубрики: chrome, Firefox, opera, автозаполнение, браузеры, информационная безопасность, Программирование, фишинг

Фишинг через автозаполнение в Chrome (демо) - 1

Давно известно, что функция автозаполнения в браузере — отличный вектор атаки. Браузер с легкостью отдает любому желающему сохраненную информацию для заполнения в форм, даже если этих форм не видно. А среди сохраненной информации в профиле автозаполнения могут быть и конфиденциальные данные. Например, домашний адрес пользователя или даже данные банковской карточки. Человек не всегда хочет делиться такой информацией, вводя просто адрес электронной почты в каком-нибудь списке рассылки. А придется поделиться, если у него браузер Chrome (в Firefox фичу обещают реализовать в ближайшее время, но пока не работает).
Читать полностью »

в 17:06, , рубрики: chrome, Google Chrome, информационная безопасность

Обещания Google начали сбываться — теперь сайты https помечаются как надёжные - 1
(Разница между HTTPS и HTTP к которой идет Google)

Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты.

Сейчас начался первый этап — пометка сайтов с https как безопасные.

Что там будет дальше?
Читать полностью »

в 11:27, , рубрики: apple, chrome, Consumer Reports, safari, аккумулятор, браузеры, Ноутбуки, Софт, Энергия и элементы питания, энергопотребление

Новые MacBook впервые не получили рекомендацию от Consumer Reports (из-за браузера Safari) - 1
Лаборатория Consumer Reports для тестирования яркости и долговечности лампочек. Фото: Consumer Reports

Союз потребителей США — некоммерческая организация, которая в течение последних 80 лет ежемесячно выпускает журнал Consumer Reports. Это в своём роде уникальный журнал. Он вообще не публикует на своих страницах рекламу. Он также не принимает у компаний образцы продукции и запрещает использование результатов своих тестов для продвижения товаров. Всё это делается ради одного: сохранить максимальную объективность, независимость и беспристрастность тестирования, которое проводится в 50 специализированных лабораториях. Ежегодный бюджет на покупку товаров тайными покупателями в розничных магазинах и тесты составляет около $21 млн.
Читать полностью »

в 18:41, , рубрики: android, chrome, fuzzing, Google, gooligan, klsw, windows kernel, Блог компании «Лаборатория Касперского», информационная безопасность

Security Week 49: Google фаззит опенсорс, Android-троян крадет учетные записи, Microsoft чинит старый баг - 11 декабря команда специалистов по безопасности Google анонсировала новую программу OSS-Fuzz в рамках которой планирует выделить ресурсы на непрерывный фаззинг ПО с открытым исходным кодом (новость, пост в блоге Google Security). Фаззинг — это метод автоматизированного тестирования программ, идея которого была сформулирована еще в конце 80-х (PDF). С ростом производительности компьютеров достаточно прямолинейный процесс скармливания софту произвольных данных в поиске уязвимостей становится все актуальнее. Да и вообще, в мире где компьютерами все чаще управляют другие компьютеры, это годная тема, уже включенная, например, в методику Secure Development Lifecycle у Microsoft.

Объясняя успешность подхода именно по отношению к свободному ПО, в Google приводят пример уязвимости в библиотеке Freetype, обнаруженной фаззером OSS-Fuzz. Freetype установлена на миллиардах устройств, и поэтому исследовать такой софт важно. Серьезные уязвимости в опенсорсе вроде Heartbleed показали, что сама возможность независимого аудита не равняется повышенной безопасности. У людей просто не хватает рук проанализировать все, поэтому на сцену выходят роботы. Странно, что в Google ничего не рассказывают про фаззинг Android, хотя исследователи из других компаний таки этим занимаются.

На самом деле главная польза проекта заключается в том, что Google приглашает сторонних исследователей и мейнтейнеров открытого софта, по сути предоставляя им вычислительные ресурсы в рамках проекта. В своих впечатлениях исследователь и разработчик Алекс Гэйнор пишет, что меньше чем за день его тестовый код, добавленный в OSS-Fuzz, обработал 17 триллионов тестовых кейсов, на что в домашних условиях у него ушел бы месяц.
Читать полностью »

в 15:48, , рубрики: chrome, Google, V8, браузеры, оптимизация, память, Софт

Chrome 55 сократил потребление памяти на 30% - 1

Компания Google выкатила новую версию браузера Chrome 55 на основном канале. Это обновление порадует пользователей Chrome как никакое другое, потому что разработчики провели очень серьёзную работу по оптимизации расхода оперативной памяти. Потребление ОЗУ на вкладках с включенным или отключенным блокировщиком рекламы сократилось примерно на 30%.

Например, сайт с прогнозом погоды Weather.com в браузере теперь занимает не 340 МБ, а всего лишь 250 МБ. Главная страница Reddit.com ужалась примерно со 160 МБ до 110 МБ.
Читать полностью »

в 22:58, , рубрики: chrome, chrome extension, Google Chrome, javascript, расширения для Chrome, Расширения для браузеров

На днях возникло желание написать простенькое расширение для Google Chrome. Столкнулся с такой проблемой, что после изменений в коде расширения, браузер не перезагружает его автоматически. Это очень сильно затрудняет разработку, т.к. после каждого Cmd-S в редакторе, приходится нажимать "Reload" в списке расширений, а затем еще и рефрешить страницу, чтобы перезапустить контент-скрипты.

После непродолжительных изысканий, выяснилось, что Chrome предоставляет все необходимые API для того, чтобы реализовать подобную функциональность для своего расширения самостоятельно.

Готовое встраиваемое решение лежит на github.com/xpl/crx-hotreload, а в этой статье я расскажу, как оно реализовано.

Читать полностью »

1...101112...20...28
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js