Рубрика «HTTPS» - 11

в 7:59, , рубрики: HTTPS, twitter, регулирование интернета, цензура в интернете

image
Кто там ждал очереди Twitter?

По поручению прокурора республики Шарпудди Абдул-Кадырова органами прокуратуры на постоянной основе осуществляется мониторинг сети «Интернет» на предмет выявления материалов оскорбляющих религиозные чувства верующих.
В ходе проведенного 11.11.2015 мониторинга социальной сети «Твиттер» обнаружена страница под названием «Charlie Hebdo», на которой размещены изображения, преследующие цель оскорбить религиозные чувства верующих, выражая неуважительное отношение к образам пророков, а также карикатур, высмеивающие катастрофу российского самолета А321 в Египте.

Распространение таких материалов может служить предпосылкой к разжиганию межнациональной, религиозной ненависти и вражды, что запрещено федеральным законодательством.
В этой связи прокуратурой республики в Ленинский районный суд г. Грозного направлено исковое заявление о признании страницы «Шарли Эбдо» в социальной сети «Твиттер» запрещенной на всей территории Российской Федерации и обязании интернет — провайдеров ограничить к ней доступ, которое 23 ноября 2015 года рассмотрено и удовлетворено.

Решение суда направлено в управление Роскомнадзора по ЧР для включения её в Единый реестр запрещенных сайтов.

Читать полностью »

в 12:44, , рубрики: HSTS, http, HTTPS, Sniffly, Strict Transport Policy, браузеры, информационная безопасность, метки:

Атака по времени на HSTS Sniffly показывает, на какие сайты ходил пользователь - 1Современные браузеры поддерживают функцию HTTP Strict Transport Security (HSTS). Флаг HSTS показывает, что с определённого домена нужно запрашивать шифрованную HTTPS-версию — даже если переход осуществляется по HTTP, а не HTTPS. Механизм нужен для обеспечения дополнительного уровня безопасности: браузер мог бы запросить HTTP-версию страницы, которую легко прослушать или подменить. Так можно избежать некоторых атак с понижением уровня защиты и перехват куки.

Данные, что у конкретного домена был установленный флаг HSTS, сохраняются в браузере пользователя. Это логическая переменная (true/false). Это не куки-файлы, а информация о безопасности, поэтому браузеры относятся к ней иначе. О слежении с помощью куки хорошо известно. Пользователь может зайти в настройки браузера и удалить те куки, которые ему не нравятся. Есть отдельные дополнения, которые запрещают приём куки от доменов маркетинговых компаний. Очистка настроек HSTS не так прозрачна — в браузерах можно удалить лишь все флаги для всех сайтов сразу. В январе Сэм Гринхал продемонстрировал, что с помощью HSTS можно создать суперкуки, которые не так легко удалить.

В прошлом месяце Янь Чжу показала на конференции ToorCon в Сан-Диего Sniffly. Проект использует HSTS и Content Security Policy для того, чтобы определить, какие сайты из списка пользователь уже посетил.
Читать полностью »

в 16:53, , рубрики: HTTPS, Let's Encrypt, SSL, информационная безопасность, регулирование интернета, сертификаты, метки:

image

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.
Читать полностью »

в 15:59, , рубрики: HTTPS, ssh, vpn, анб, информационная безопасность, обмен ключами, протокол Диффи-Хеллмана, шифрование

Уже давно ходят слухи, что АНБ способно дешифровать значительную часть зашифрованного интернет-трафика. Этому есть косвенные свидетельства. В 2012 году некий сотрудник АНБ на условиях анонимности утверждал, что агентство добилось «прорыва в вычислениях», которые дают им «возможность взломать нынешнюю публичную криптографию». Документы Сноудена тоже указывают на некоторые исключительные возможности АНБ: из них следует, что агентство построило широкую инфраструктуру для перехвата и расшифровки VPN-трафика, и что оно вероятно обладает возможностью расшифровать по крайней мере часть HTTPS и SSH соединений по запросу.

Документы не дают понять, как такое возможно. 13 октября на конференции ACM CCS выступили известные криптографы Алекс Халдерман (Alex Halderman) и Надя Хенингер (Nadia Heninger) с докладом, в котором они предполагают, что решили эту таинственную загадку. Кстати, их работа признана лучшим докладом конференции.

По мнению специалистов, проблема в алгоритме Диффи-Хеллмана, который широко используется в интернете для обмена ключами при установке защищённого канала. Это краеугольный камень надёжной криптографической защиты. Он используется в VPN, HTTPS и многих других протоколах.
Читать полностью »

в 18:06, , рубрики: ca, EFF, HTTPS, информационная безопасность, сертификаты, центр сертификации

image
1990-е: В интернете никто не знает, что ты — собака.
Сегодня: Наш анализ данных показывает, что он — коричневый лабрадор. Он живёт с чёрно-белым биглем, и по-моему, у них есть отношения.

Совершенно бесплатные сертификаты для шифрования веб-трафика, которые обещали начать выдавать в середине 2015 года, слегка запоздали, но не исчезли совсем. 14 сентября Фонд Электронных Рубежей (Electronic Frontier Foundation, EFF) торжественно объявили о факте выдачи первого такого сертификата системой Let’s Encrypt.

Let’s Encrypt – свободный, бесплатный центр сертификации (certificate authority, CA). Он должен обеспечить всех желающих совершенно бесплатными сертификатами, и тем самым, постепенно перевести весь интернет на шифрование трафика.

По понятным причинам, правозащитники и борцы за свободу обоими руками приветствуют эту инициативу. HTTPS (правильно работающий) означает защиту от прослушки и кражи персональных, коммерческих и других данных пользователей.

Ещё пару лет назад все центры сертификации продавали сертификаты, да и сегодняшние бесплатные обладают рядом ограничений. После покупки требовались знания для того, чтобы настроить поддержку сертификатов в браузере. Теперь эти времена уходят в прошлое.

Пока ещё новый центр не обладает всеми правами, и его сертификаты не имеют перекрёстной подписи, в результате чего они не воспринимаются браузерами как надёжные (браузер выдаст сообщение «untrusted»). В EFF уверены, что примерно через месяц будет завершена соответствующая работа в консорциуме IdenTrust, после чего новые бесплатные сертификаты будут работать без шума и пыли.
Читать полностью »

в 17:44, , рубрики: HTTPS, регулирование интернета, США, электронное правительство

Сайты американского правительства обязали перейти на HTTPS до конца следующего года - 1

Паранойя – вещь полезная и нужная, когда ты находишься в такой изначально слабо защищённой среде, как интернет. Вот и американское правительство решило, что для усложнения работы русских и китайских хакеров, которые их постоянно взламывают, всем государственным службам необходимо как минимум перейти на HTTPS. Переход запланирован до конца 2016 года.

На сегодняшний день большинство из примерно 1200 сайтов государственных служб США используют незашифрованный протокол HTTP. Это позволяет с лёгкостью перехватывать передаваемый между пользователем и сайтом контент и подменять его.

В меморандуме, выпущенном подразделением Белого дома по управлению и бюджетным вопросам, подробно разъясняется, почему необходимо переходить на HTTPS-протокол, что он способен дать, и, что важно – что он дать не способен. В частности, хотя HTTPS и обеспечивает зашифрованное общение между клиентом и сервером, он не гарантирует, что сервер не был взломан заранее.
Читать полностью »

в 14:22, , рубрики: HSTS, HTTPS, mozilla, upgrade-insecure-requests, браузеры, информационная безопасность

imageРазработчик популярного браузера Firefox, компания Mozilla будет постепенно отказываться от поддержки протокола HTTP в пользу зашифрованного протокола HTTPS. Это решение было принято после всестороннего и бурного обсуждения в списке почтовой рассылки.

Эра повсеместного перехода на шифрование будет происходить в два этапа. Сначала будет выбрана дата, по наступлению которой все новые функции будут поддерживаться только на HTTPS-сайтах. Затем постепенно начнётся отключение традиционных функций. То, какие функции веба нужно считать новыми, также будет обсуждаться в сообществе разработчиков.

План не отвергает полностью использование старых ссылок в формате http – вместо этого они будут преобразовываться в HTTPS через HSTS и атрибут upgrade-insecure-requests (средства, которыми пользуется сервер для переадресации всех запросов по безопасным каналам). Mozilla призывает разработчиков активнее включаться в движение по усилению безопасности работы в интернете, и планирует представить свои рекомендации консорциуму W3C.
Читать полностью »

в 9:41, , рубрики: Google Chrome, HTTPS, браузеры, информационная безопасность, сертификаты, Сетевые технологии

20-го марта 2015 года Google получил информацию о существовании поддельных цифровых сертификатов для нескольких своих доменов. Сертификаты были выданы промежуточным центром сертификации, относящимся к компании MCS Holdings. Промежуточный сертификат этой компании был выдан CNNIC (China Internet Network Information Center — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая).

CNNIC включен во все основные списки доверенных сертификационных центров и поэтому выданным им сертификатам доверяет большинство браузеров и операционных систем. Chrome на всех операционных системах и Firefox версий 33 и старше отклоняют поддельные сертификаты для доменов Google из-за того, что их публичные ключи вшиты в бинарники браузеров, что, однако, не решает проблему вероятного существования поддельных сертификатов для других доменов.

Google оперативно оповестил CNNIC и разработчиков других браузеров об этом инциденте и заблокировал все выданные компанией MCS Holdings сертификаты путём обновления CRLSet. CNNIC ответили 22-го марта и объяснили, что у них был договор с MCS Holdings о том, что эта компания будет выпускать сертификаты только для доменов, которые будут ею зарегистрированы. Однако, вместо того, чтобы хранить приватный ключ в безопасном аппаратном хранилище, MCS прошила его в свой продукт — man-in-the-middle прокси-сервер. Эти устройства позволяли на лету сгенерировать поддельные сертификаты для посещаемых пользователями https-ресурсов, позволяя, к примеру, компаниям следить за своими работниками таким образом, что у тех не возникало подозрений в том, что их текущее соединение не является безопасным. Ситуация похожа на случай с ANSSI в 2013-ом году.
Читать полностью »

в 13:24, , рубрики: HTTPS, SSL, TLS, wireshark, браузеры, информационная безопасность, Сетевые технологии

Многим из вас знаком Wireshark — анализатор трафика, который помогает понять работу сети, диагностировать проблемы, и вообще умеет кучу вещей.
image

Одна из проблем с тем, как работает Wireshark, заключается в невозможности легко проанализировать зашифрованный трафик, вроде TLS. Раньше вы могли указать Wireshark приватные ключи, если они у вас были, и расшифровывать трафик на лету, но это работало только в том случае, если использовался исключительно RSA. Эта функциональность сломалась из-за того, что люди начали продвигать совершенную прямую секретность (Perfect Forward Secrecy), и приватного ключа стало недостаточно, чтобы получить сессионный ключ, который используется для расшифровки данных. Вторая проблема заключается в том, что приватный ключ не должен или не может быть выгружен с клиента, сервера или HSM (Hardware Security Module), в котором находится. Из-за этого, мне приходилось прибегать к сомнительным ухищрениям с расшифровкой трафика через man-in-the-middle (например, через sslstrip).

Логгирование сессионный ключей спешит на помощь!

Что ж, друзья, сегодня я вам расскажу о способе проще! Оказалось, что Firefox и Development-версия Chrome поддерживают логгирование симметричных сессионных ключей, которые используются для зашифровки трафика, в файл. Вы можете указать этот файл в Wireshark, и (вуаля!) трафик расшифровался. Давайте-ка настроим это дело.Читать полностью »

в 20:41, , рубрики: HTTPS, nginx, SSL, TLS, информационная безопасность, Тестирование веб-сервисов, метки: ,

Недавно вспомнилось мне, что есть такой сервис — StartSsl, который совершенно бесплатно раздаёт trusted сертификаты владельцам доменов для личного использования. Да и выходные попались свободные. В общем сейчас напишу, как в nginx настроить HTTPS, чтобы при проверке в SSL Labs получить рейтинг А+ и обезопасить себя от последних багов с помощью выпиливания SSL.
Итак приступим. Будем считать, что у вы уже зарегистрировались на StartSsl, прошли персональную проверку и получили вожделенный сертификат. Для начала я опубликую итоговый конфиг, а после этого, разберу его.
Читать полностью »

1...101112...16
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js