В этом скриншоте, на первый взгляд, нет ничего необычного — просто упал сайт. Но это не так…
Рубрика «HTTPS» - 7
Connecting to xxx.xxx.xx.xxx:443… failed: Unknown error или предупрежден — значит вооружен
2017-05-16 в 7:49, admin, рубрики: HTTPS, SSLБорьба с перехватом HTTPS-трафика. Опыт Яндекс.Браузера
2017-05-12 в 6:55, admin, рубрики: HTTPS, безопасность, Блог компании Яндекс, браузеры, защита, информационная безопасность, перехват трафика, предупреждение, прослушка, шифрование, яндекс, яндекс.браузерСогласно исследованию сотрудников Mozilla, Google, Cloudflare и ряда университетов, от 4 до 11% защищенных соединений «прослушиваются» в результате установки сомнительных корневых сертификатов на компьютерах пользователей, которые даже и не догадываются о риске. Сегодня я расскажу о том, как наша команда привлекает внимание к этой проблеме с помощью Яндекс.Браузера.
Вряд ли на Хабре стоит подробно рассказывать об SSL-сертификатах и тех задачах, которые они решают, но на всякий случай коротко напомним о главном (вы можете просто пропустить пару абзацев, если хорошо представляете принципы работы). Получить закрытый замочек в адресной строке браузера сейчас легко и быстро может любой сайт, поэтому сертификат это ни в коей мере не признак «надежности» сайта, несмотря на соответствующую маркировку в Chromium. Тем не менее он выполняет важную функцию защиты наших с вами данных от перехвата. Администратору сети или злоумышленнику, получившему доступ к трафику, нужно еще придумать способ для расшифровки потока, что обычно сделать затруднительно при стойкой криптографии и отсутствии ключа.
Google Chrome продолжит «закручивать гайки» (с октября)
2017-04-28 в 6:34, admin, рубрики: Google, Google Chrome, http, HTTPS, безопасность, браузеры, информационная безопасностьВпрочем, для кого эта новость покажется закручиваем гаек, а для кого — пуганием пользователей, однако компания Goolge, как и обещала, собирается порадовать нас очередными изменениями поведения браузера Google Chrome по части оповещения пользователя о том, на какой сайт тот заходит.
Если раньше разговор шел о том, что страницы, содержание поля ввода пароля или номера кредитки, и отправляющие данные по http (не https), помечались как небезопасные в строке адреса, то свежие изменения предполагают помечать небезопасными все http-страницы с полями ввода, а также все http-страницы при просмотре их в режиме инкогнито.
Введение в криптографию и шифрование, часть первая. Лекция в Яндексе
2017-04-23 в 12:17, admin, рубрики: aes, arcfour, DES, HTTPS, RC4, salsa20, TLS, Алгоритмы, Блог компании Яндекс, информационная безопасность, криптография, сеть фейстеля, шифр цезаря, шифрование, шифрование данныхЧтобы сходу понимать материалы об инфраструктуре открытых ключей, сетевой безопасности и HTTPS, нужно знать основы криптографической теории. Один из самых быстрых способов изучить их — посмотреть или прочитать лекцию Владимира ivlad Иванова. Владимир — известный специалист по сетям и системам их защиты. Он долгое время работал в Яндексе, был одним из руководителей нашего департамента эксплуатации.
Мы впервые публикуем эту лекцию вместе с расшифровкой. Начнём с первой части. Под катом вы найдёте текст и часть слайдов.
Масштабируя TLS
2017-04-19 в 11:09, admin, рубрики: HTTPS, LetsEncrypt, SSL, TLS, Блог компании Qrator Labs, высокая производительность, информационная безопасность, криптография, сертификат
Хабр, это доклад с одного из «не главных» залов Highload++ 2016. Артём ximaera Гавриченков, технический директор Qrator Labs, рассказывает про прикладное шифрование, в том числе, в высоконагруженных проектах. Видео и презентация в конце поста — спасибо Олегу Бунину.
Приветствую! Мы продолжаем находиться на сессии про HTTPS, TLS, SSL и всё такое.
То, о чём я сейчас буду говорить — не какой-то туториал. Как говорил мой преподаватель в университете по базам данных, Сергей Дмитриевич Кузнецов: «Я не буду учить вас настраивать Microsoft SQL сервер — пусть это делает Microsoft; не буду учить вас настраивать Oracle — пусть это делает Oracle; не буду учить вас настраивать MySQL — делайте это сами».
Точно так же и я не буду учить вас настраивать NGINX — это всё есть на сайте у Игоря Сысоева. Что мы обсудим, так это некий общий взгляд на проблематику и на возможности для решения проблем, которые возникают при внедрении шифрования на публичных сервисах.
Читать полностью »
Let’s Encrypt выдал 14 766 сертификатов для фишинга PayPal
2017-03-27 в 13:33, admin, рубрики: HTTPS, Let's Encrypt, paypal, SSL, UI, браузеры, информационная безопасность, фишинг
Бесплатные сертификаты Let's Encrypt стали настолько популярными, что этот центр сертификации от Mozilla и EFF уже вошёл в число крупнейших центров сертификации в Интернете. К сожалению, возможностью получить бесплатный сертификат SSL пользуются не только обычные сайты, но и сайты для фишинга. Для них наличие зелёного значка HTTPS — важное свойство, чтобы отличие с настоящим сайтом не бросалось в глаза. Браузеры помечают такие фальшивки как «безопасные сайты».
Читать полностью »
Security Week 12: опасная фича в Windows, китайские хакеры сломали все вокруг, инспектировать HTTPS надо с умом
2017-03-24 в 16:36, admin, рубрики: HTTPS, microsoft, Pwn2Own, TLS, US-CERT, VMware, windows, Блог компании «Лаборатория Касперского», информационная безопасность
Порой плохую фичу сложно отличить от хорошего бага. В каком-то смысле она даже хуже бага – фиксить-то ее не будут. Вот и Microsoft уже шестой год знает о симпатичной возможности перехвата сессии любого пользователя локальным администратором. Погодите, это же админ, ему все можно! Однако давайте разберемся что здесь не так.
Читать полностью »
EFF: мы на полпути к безопасному интернету
2017-02-26 в 13:27, admin, рубрики: EFF, HTTPS, информационная безопасность, Регулирование IT-сектора, шифрование
Правительства разных стран прикладывают усилия по контролю граждан и мониторингу всего интернета. Единственный способ сохранить свободу — надёжное шифрование всех соединений. Мировое движение за зашифровку всего интернета объявило о достижении важной вехи. Примерно в начале февраля 2017 года доля интернет-трафика, защищённого HTTPS, впервые превысила 50%. Россия лидирует в мире по темпам роста трафика HTTPS.
Читать полностью »
Let’s Encrypt и Express. Каждому серверу – по зелёному замку́
2017-02-06 в 13:34, admin, рубрики: express, HTTPS, node.js, SSL, Блог компании RUVDS.com, хостинг, хранение данных, хранилища данныхHTTPS становится всё более сильным трендом современного интернета. И это хорошо, особенно, когда клиенты, взаимодействуя с серверами, обмениваются с ними конфиденциальными данными. Для того, чтобы пользоваться HTTPS, нужен SSL-сертификат, который применяется для проверки подлинности сервера. Проект Let’s Encrypt значительно упростил процесс получения SSL-сертификатов. До его появления всё было гораздо сложнее.
Let’s Encrypt использует Certbot от Electronic Frontier Foundation для автоматизации процесса получения SSL-сертификата. Поддерживаются разные типы веб-серверов (Apache, nginx, и другие), которые работают на Unix-подобных ОС. Если ваш сервер соответствует системным требованиям Let’s Encrypt, это значит, что вы сможете получить сертификат в практически полностью автоматическом режиме. К сожалению, связку Node.js/Express.js Let’s Encrypt не поддерживает. То есть, в данном случае автоматически получить сертификат от Certbot не получится. Однако, не всё потеряно. Используя Let’s Encrypt и Certbot, сертификат не так уж и сложно получить вручную.
Читать полностью »
Доля HTTPS трафика в интернете превысила 50%
2017-02-02 в 8:34, admin, рубрики: Firefox, http, HTTPS, информационная безопасность
Всех поздравляю с этим событием — 29 января 2017 года количество страниц загруженных по протоколу HTTPS превысило 50%.
По данным телеметрии Firefox.
Читать полностью »