Рубрика «Блог компании GlobalSign»

Протокол HTTP-over-QUIC официально становится HTTP-3 - 1С момента принятия стандарта HTTP/2 прошло три с половиной года: спецификация RFC 7540 опубликована в мае 2015-го, но пока не используется повсеместно. Протокол реализован во всех браузерах ещё с конца 2015 года, а спустя три года только 31,2% из 10 млн самых популярных интернет-сайтов поддерживают HTTP/2. Из самых популярных сайтов на него перешли Google, Youtube, Wikipedia, Twitter, Vk.com и другие.

Тем не менее, прогресс не стоит на месте — и уже идёт работа над следующей версией HTTP/3. Как сейчас стало известно, разработчики двух альтернативных вариантов достигли совместимости, а протокол HTTP-over-QUIC теперь меняет название и официально именуется HTTP/3. Соответственно, в будущей версии HTTP транспорт TCP заменят на QUIC.
Читать полностью »

Расширения для браузеров — основной канал утечки конфиденциальной информации

Приватные сообщения из 81 000 аккаунтов Facebook выставлены на продажу - 1

Из крупнейшей в мире социальной сети произошла очередная утечка данных. На этот раз утекла не только базовая информация о пользователях, но и самое «секретное» на Facebook — личные сообщения как минимум 81 000 пользователей, преимущественно из России и Украины. Архив выставлен на продажу, а доказательства опубликовала Русская служба BBC.

По мнению специалистов, приватная информация получена с помощью вредоносных расширений браузера. Но злоумышленники утверждают, что у них есть личные сообщения 120 млн человек, в том числе 2,7 млн россиян. Это небольшая доля от 2 млрд активных пользователей Facebook.
Читать полностью »

Новые методы аутентификации — угроза приватности? - 1

Специалистам известно, что однофакторная аутентификация по паролю устарела. Да, она подходит для малозначимых систем вроде Хабра, но действительно ценные активы неприемлемо защищать подобным образом. Не бывает «надёжных» и «стойких» паролей, даже криптостойкая парольная фраза на 44 бита энтропии малополезна, если не подкрепляется другими факторами аутентификации.

Факторы аутентификации:

  1. «То, что ты знаешь» (Something You Know) — например, пароль
  2. «То, что ты имеешь» (Something You Have) — например, мобильный телефон или PKI-токен
  3. «То, чем ты являешься» (Something You Are) — например, клавиатурный почерк или другие биометрические признаки

Читать полностью »

Стандарт Encrypted SNI реализован в Firefox Nightly - 1Firefox стал первым браузером, который реализовал шифрование TLS Server Name Indication (SNI). Поддержку ESNI внедрили в последнюю версию Firefox Nightly, на которой обкатывают все нововведения перед их добавлением в основную ветку.

О важности этого стандарта месяц назад рассказывал CDN-провайдер Cloudflare. Если вкратце, то благодаря ESNI шифруется информация о том, к какому домену вы отправляете запрос. В стандартном HTTPS заголовки с именами доменов не шифруются и доступны для просмотра провайдеру или другому «человеку посередине». Теперь он видит только IP-адрес. Поскольку в современном интернете на одном IP-адресе могут располагаться сотни доменов, то ESNI эффективно скрывает информацию, на какой домен заходит пользователь.

Таким образом, блокировки по именам перестают работать, а цензура в интернете сильно усложнится. Цензорам придётся блокировать IP-адреса, а это сомнительная практика. Такая блокировка может затронуть непричастные сайты, а блокируемый сервис легко (автоматически) переключается на другой IP-адрес.
Читать полностью »

В распределении простых чисел обнаружена дифракционная картина, примерно как у квазикристаллов - 1

В марте 2016 года Роберт Дж. Лемке-Оливер и Каннан Соундарараджан из Стэнфордского университета открыли новый шаблон в распределении простых чисел. Оказалось, что простые числа специфически распределяются по числовому пространству. Подробнее см. перевод статьи «Структура и случайность простых чисел» на Хабре.

К изучению темы подключились специалисты из других областей, в том числе химии. И успешно. Профессор теоретической химии Сальваторе Торкуато вместе с теоретиком чисел Мэтью де Курси-Айрлэнд нашли новые шаблоны в распределении простых чисел, о которых раньше не было известно. Оказалось, что распределение простых чисел образует фракталоподобную дифракционную картину, чем-то похожую на картину дифракции у экзотических квазикристаллов.
Читать полностью »

Самая быстрая в мире камера снимает 10 триллионов кадров в секунду - 1
Сверхскоростная камера T-CUP

Учёные из Национального научно-исследовательского института (Канада) и Калифорнийского технологического института разработали самую скоростную в мире видеокамеру T-CUP, которая снимает со скоростью 10¹³, то есть 10 триллионов кадров в секунду. Этот прибор позволяет буквально заморозить время, то есть визуализировать явления (и даже свет) в очень медленном темпе.
Читать полностью »

image

Недавно Google объявил о прекращении доверия всем SSL-сертификатам, выданным до 1 декабря 2017 г. удостоверяющими центрами Symantec, Thawte, GeoTrust и RapidSSL. Изменения вступят в силу 16 октября этого года с выходом нового юбилейного браузера Google Chrome 70.
Читать полностью »

Хакер Алексей, который защищает маршрутизаторы MikroTik без разрешения владельцев, стал знаменитым - 1

На Хабре подробно рассказывали про уязвимость CVE-2018-14847, которой подвержены около 370 тыс. маршрутизаторов MikroTik по всему миру (в том числе 40 тыс. в России). Если вкратце, уязвимость в MikroTik RouterOS позволяет без особой авторизации прочитать удалённо любой файл с роутера, включая плохо защищённые пароли доступа.

Хотя патч выпустили очень оперативно в апреле, многие владельцы маршрутизаторов не следят за обновлениями. В результате их устройства остаются уязвимыми и входят в IoT-ботнеты, которыми пользуются злоумышленники. За последние несколько месяцев зарегистрировано несколько случаев, когда через уязвимые маршрутизаторы MikroTik устанавливали скрипты Coinhive для майнинга в браузере и настраивали редирект DNS на вредоносные сайты. Ситуация усугубилась 5 октября, когда вышел новый эксплоит By The Way для CVE-2018-14847.

Но не все хакеры готовы пользоваться беспечностью пользователей и зарабатывать на этом. Некоторые пытаются помочь. На днях популярное западное издание ZDNet рассказало о «таинственном русскоязычном хакере», который «взламывает маршрутизаторы и без разрешения пользователей патчит их». На самом деле речь идёт о читателе LMonoceros, которого теперь можно считать знаменитостью.
Читать полностью »

Технология Solid: пришло время для перестройки веба - 1
Сэр Тим Бернерс-Ли на Campus Party 2008, фото Jonan Basterra

Сэр Тим Бернерс-Ли, создатель Всемирной паутины и директор консорциума W3C, уверен, что развитие веба достигло критической точки, максимально отклонилось от изначальной концепции. Изначально он задумывался как децентрализованная сеть, где первый браузер одновременно был и редактором документов. Идея состояла в том, что каждый пользователь не только сможет просматривать документы, но и создавать, редактировать их. Веб должен был стать местом совместного творчества и сотрудничества для всего человечества. Но что-то пошло не так.

Есть примеры удачной реализации совместного творчества, как Википедия, децентрализованный хостинг сайтов и пиринговые социальные сети. Это предвестники того, каким может стать веб на основе новой технологии Solid, которую разработал Тим Бернерс-Ли совместно с группой исследователей из Массачусетского технологического института. Это венец десятилетий концептуальной работы, которой занимался Бернерс-Ли.
Читать полностью »

В важном судебном прецеденте спецслужбы США не смогли добиться прослушки звонков в мессенджере - 1Американские правоохранительные органы и спецслужбы давно перехватывают голосовые звонки по обычным телефонным линиям. Но с интернет-мессенджерами возникают проблемы, потому что они не подпадают под обычный закон о прослушке. Поскольку большинство IM-сервисов принадлежит американским компаниям, те вынуждены выполнять требования законодательства США, а если требование спецслужб или суда нижней инстанции не соответствует законам — вопрос рассматривается в суде.

Как сейчас стало известно Reuters, важный прецедент произошёл в августе этого года, когда на закрытом судебном слушании члены совместной федеральной и государственной оперативной группы пытались засудить компанию Facebook. Текстовые чаты членов преступной банды MS-13 в программе Messenger успешно перехватили, но минимум три голосовых разговора не дались оперативникам. Ранее компания отказалась выполнить постановление суда о прослушке телефонных разговоров, и теперь в связи с этим было разбирательство. Суд стал на сторону Facebook.

Это решение является важным прецедентом, пишет Reuters, потому что показывает попытки спецслужб США взломать шифрование мессенджеров или добиться содействия разработчиков в прослушке, как в данном случае.
Читать полностью »