Рубрика «HTTPS» - 9

в 2:24, , рубрики: ca, globalsign, HTTPS, информационная безопасность, сертификаты, факап, центр сертификации, метки:

Из-за проблем у GlobalSign ряд HTTPS-сайтов будет частично недоступен следующие 4 дня - 1

В начале октября авторитетный центр выдачи TLS-сертификатов (CA) GlobalSign занялся реструктуризацией своей инфраструктуры. В числе прочих мер, GlobalSign удалил ряд кросс-подписей своих корневых TLS-сертификатов.

К сожалению, в процессе браузеры Safari, Chrome и IE11 начали воспринимать сертификаты GlobalSign как отозванные по причинам безопасности. Инженеры GlobalSign оперативно устранили критическую ошибку, однако некорректный OCSP-ответ оказался закэширован на CDN и широко распространился по свету. В данный момент — и следующие четыре дня, до истечения срока действия записи в OCSP-кэше браузеров — сайты, защищённые сертификатом от GlobalSign, могут быть недоступны для значительной части пользователей.

Среди затронутых сайтов такие компании, как Wikipedia, Dropbox, Financial Times и другие.
Читать полностью »

в 8:58, , рубрики: android, api, bluetooth, Eddystone, github, Google, HTTPS, ibks, SSL, tool, Блог компании Google, разработка мобильных приложений, Разработка под android

В июле 2016, разбирая статьи на «Хабрахабре», я узнал о конкурсе Device Lab от Google, в котором предлагалось попробовать в работе BLE-маячки (beacons) c технологией Eddystone и описать в статье свое решение на их базе.

Маячки Eddystone для контроля расхода электроэнергии - 1
Статья автора Павла Валентова, в рамках конкурса «Device Lab от Google».

Читать полностью »

в 6:42, , рубрики: chrome, http, HTTPS, MITM в массы, браузеры, информационная безопасность, черты будущего

Chrome начнёт помечать небезопасными страницы, открытые по HTTP - 1Пока люди всего мира изобретают новые, полезные технологии, другие люди решают, что из старых, проверенных, но, вероятно, не таких полезных технологий считать, увы, небезопасным и вредным. Что же, компания Google сообщила, что с января 2017 (с Chrome версии 56) при просмотре в Chrome сайты, которые передают пароли и номера кредиток по протоколу HTTP, будут маркироваться как небезопасные. Это делается в рамках долгосрочного плана перехода к маркировке всех не-HTTPS сайтов как небезопасных.
Читать полностью »

в 10:30, , рубрики: HTTPS, vpn, windows, wpad, защита данных, информационная безопасность, операционные системы, метки:

Исследователи рекомендуют срочно отключить протокол WPAD на Windows

Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN - 1Web Proxy Auto-Discovery Protocol (WPAD) — это протокол автоматической настройки прокси, который используется клиентами (браузером) для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. При совершении запроса браузером вызывается функция FindProxyForURL из PAC-файла, куда передается URL и хост. Ожидаемый ответ — список прокси, через которые будет осуществляться выход на этот адрес.

WPAD включен по умолчанию в Windows, поддерживается он и другими операционными системами. Но этот протокол подвержен ряду уязвимостей, что показали специалисты по информационной безопасности Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) на Defcon. Злоумышленники, используя эти уязвимости, могут получить данные жертвы (история поиска, доступы к аккаунтам, фото, документы и т.п.), несмотря на HTTPS или VPS соединения. Тип атаки, который применяется в этом случае — man-in-the-middle.
Читать полностью »

в 14:36, , рубрики: blackhat, HSTS, HTTPS, klsw, miller, Stagefright, valasek, wire-wire, Блог компании «Лаборатория Касперского», всё пропало, информационная безопасность, нигерийское мошенничество, флешки

Security Week 31: новости с Blackhat - 1Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей. Соответственно, конференция говорит о проблемах, но почти не обсуждает решения. И не потому, что решений нет, просто такой формат. Интересно, что на роль конструктивного собрания о методах защиты претендует февральская RSA Conference, но и там пока наблюдается некий разрыв шаблона: через кулуары бизнес-митингов с применением терминов «митигация», «комплексная стратегия», «методика реагирования на инциденты» рано или поздно пробегает некто в худи с громким криком «ААААА, ВСЕ ПРОПАЛО!1».

Пожалуй, это нормально: бизнес относительно IT-безопасности спозиционирован между морковкой всеобъемлющей защиты и тачанкой киберпреступности. Так и движется, мотивируемый и подгоняемый, в сторону светлого будущего безопасного инфопространства. Cегодня я позволю себе отойти от привычного формата и расскажу о некоторых интересных докладах с BlackHat. Пост не претендует на полноту, конференция еще продолжается: первое и второе уже подали, но компот долетит уже на следующей неделе.

tl;dr Сломали автомобили, шифрование, Android, почту, кредитки, всех обманули зараженными флешками. Интернет был сломан давно, за прошедший отчетный период не починился.
Все выпуски сериала доступны по тегу.
Читать полностью »

в 12:37, , рубрики: digital security, HTTPS, SSL, ssl сертификаты, TLS, информационная безопасность, криптография

Сейчас уже, наверное, больше половины серверов перебрались с http на https протокол. Зачем? Ну, это мол круто, секъюрно.

В чем же заключается эта секъюрность? На эту тему уже написана куча статей, в том числе и на Хабре. Но я бы хотел добавить еще одну.

Почему решил написать

Я, вообще, по специальности Android разработчик, и не особо шарю в криптографии и протоколах защиты информации. Поэтому когда мне пришлось столкнуться с этим непосредственно, я был немного в шоке от размера пропасти в моих теоретических знаниях.

Я начал рыться в разных источниках, и оказалось, что в этой теме не так просто разобраться, и тут недостаточно просто прочитать пару статей на Хабре или Вики, при чем я нигде не встретил абсолютно исчерпывающего и понятного источника, чтобы сослаться и сказать — "Вот это Библия". Поэтому у меня это "немного разобраться" заняло кучу времени. Так вот, разобравшись, я решил поделиться этим, и написать статью для таких же новичков, как и я, или просто для людей, которым интересно зачем в строке URL иногда стоит https, а не http.

Читать полностью »

в 18:37, , рубрики: HTTPS, Let`s Encrypt, TLS, информационная безопасность, Статистика в IT, шифрование, метки:

Спасибо, Let`s Encrypt. За год проникновение TLS в Рунете выросло в три раза - 1

За последний год количество узлов в домене .RU, поддерживающих TLS (HTTPS), увеличилось в три раза. По статистике проекта «Домены России», количество таких узлов за год выросло с 34205 до 103616. Это очень большой рост.

Эксперты объясняют, что массовое внедрение HTTPS связано с выдачей автоматических сертификатов CloudFlare, а также началом деятельности центра сертификации Let`s Encrypt, который позволяет автоматически выпускать бесплатные сертификаты для веб-ресурсов.
Читать полностью »

в 13:55, , рубрики: HTTPS, информационная безопасность, Накопители, пакет Яровой, прослушка, регулирование интернета, слежка, сотовая связь, шифрование трафика, метки:

Это всё-таки случилось: Путин подписал «пакет Яровой». Тарифы на связь вырастут в 2-4 раза - 1
Депутат Ирина Яровая. Фото: Станислав Красильников / ТАСС

Сегодня президент РФ подписал принятый парламентом и Советом Федерации пакет Яровой-Озерова с поправками в российское законодательство, в том числе поправками в закон «О связи». Тем самым поставлена окончательная точка в обсуждении этого пакета, который подробно обсуждался на Хабре.

Пакет новых законов обязывает операторов связи до трёх лет хранить метаданные и до шести месяцев трафик.

Согласно принятым законам, инфраструктура для прослушки населения будет оплачена самим населением, скорее всего, за счёт повышения тарифов на связь и снижения нормы прибыли операторов. Насколько именно вырастут цены на связь? Здесь мнения экспертов расходятся.
Читать полностью »

в 21:24, , рубрики: DNS, http, HTTPS, SSL, Администрирование доменных имен, бесплатно, домен, имя, криптография, Серверное администрирование, сертификат

Привет. Данный пост предназначен для любителей халявы и содержит готовый рецепт по получению доменного имени, услуг DNS-сервера и SSL-сертификата с затратами 0 рублей 0 копеек. Бесплатный сыр бывает только в мышеловке и это правда, так что рецепт скорее для тех кто хочет красивую ссылку на свой личный небольшой проект с поддержкой https а не для серьёзных проектов.
Получаем доменное имя, DNS и SSL сертификат нахаляву - 1
Читать полностью »

в 18:29, , рубрики: http/2, HTTPS, nghttp2, nghttpx, SSL, высокая производительность, Разработка веб-сайтов, Серверная оптимизация, Серверное администрирование

Всем привет, сегодня я расскажу о том, как настроил server push на своём сайте и добился увеличения скорости рендеринга страниц. Для начала о том, что же такое server push в HTTP/2. Это технология, позволяющая серверу «протолкнуть» дополнительные данные клиенту, в момент запроса основного документа. То есть в обычной ситуации запрашивает браузер html-страничку, затем обрабатывает её и приходит к выводу, что ему для корректного отображения необходимо подгрузить дополнительные файлы: стили, скрипты, изображения. После чего скачивает их и отображает конечный результат. Server push позволяет отправить дополнительные файлы уже в момент получения основного документа, и они уже будут иметься в кэше, когда они потребуются браузеру. За счёт этого возрастает скорость загрузки сайта.

На этот раз схема будет следующая:

Реализуем http-2 server push с помощью nghttp2 - 1

Читать полностью »

1...8910...16
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js