Można ogłosić chyba pierwszy sukces mechanizmu Certificate Transparency (CT). Kilka dni temu właśnie dzięki CT udało się odkryć kilka nieautoryzowanych certyfikatów SSL wystawionych dla domen należących do Google.
Google, Microsoft i Mozilla wyłączą wsparcie dla RC4
Tej decyzji można było się spodziewać. Dzisiaj, wszystkie trzy firmy ogłosiły, że na początku przyszłego roku wyłączą wsparcie dla szyfru RC4 w swoich przeglądarkach.
Bezpieczeństwo OpenSSL na przestrzeni ostatniego roku
Przegląd podatności OpenSSL z ostatnich dwunastu miesięcy, a wśród nich te opisywanie na Kryptosferze FREAK i Alternative chains certificate forgery.
W Edge nie podejrzysz certyfikatu SSL
Potwierdziły się obawy o to, że nowa przeglądarka Microsoftu nie daje użytkownikom możliwości podglądu certyfikatu SSL strony, którą przeglądają. Twórcy są świadomi tej niedoróbki, ale na ten moment nie podają terminu jej naprawy. PS. Obecnie nie mam możliwości sprawdzenia osobiście jak to wygląda aktualnej wersji Edge, więc jeżeli któryś z…
Main-in-the-middle ukryty w lodówce
Błędy w implementacji protokołu TLS prowadzące do możliwości wykradania danych użytkowników zdarzają się ostatnimi czasy nierzadko. Tym razem padło na… jedną z inteligentnych lodówek. Błąd odkryli specjaliści bezpieczeństwa z firmy Pen Test Partners, a zhackowana lodówka to produkt firmy Samsung, model RF28HMELBSR.
Kryptografia asymetryczna według xkcd
Coś w tym jest :-)
Sekurak/Offline #1
Wczoraj na łamach serwisu Sekurak opublikowany został pierwszy numer magazynu Sekurak Offline w którym znajdziecie prawie 60 stron tekstów dotyczących bezpieczeństwa aplikacji webowych. Całość podana jest w przyjemnej dla oka oprawie graficznej i całkowicie za darmo. Premierowe wydanie magazynu to świetna lektura dla osób, które interesują się bezpieczeństwem aplikacji WWW.…
Łamanie RC4 w 75 godzin
Dwóch belgijskich badaczy opublikowało pracę w której wykazują, że wystarczy 75 godzin (a czasem nawet mniej) do złamania (zdeszyfrowania) ciasteczka przesyłanego w sesji TLS szyfrowanej przy użyciu algorytmu RC4. Jest to drastyczne skrócenie czasu potrzebnego do złamania RC4 w porównaniu z ostatnimi znanymi możliwościami w tym zakresie. Opracowanie zawiera wiele…
Poważny błąd w OpenSSL załatany
Zgodnie z poniedziałkową zapowiedzią dziś na serwery projektu OpenSSL trafiła nowa wersja biblioteki w której załatano jeden poważany błąd bezpieczeństwa. Umożliwiał on podstawienie fałszywych certyfikatów, które następnie mogły być traktowane jako wystawione przez zaufane Urzędy Certyfikacji (CAs).
Zapowiedź nowej wersji OpenSSL
Od wczoraj na oficjalnej stronie projektu możemy przeczytać zapowiedź wydania kolejnych wersji biblioteki OpenSSL w których wyeliminowano poważną („high” severity) podatność bezpieczeństwa. Błąd dotyczy tylko wersji 1.0.2 i 1.0.1. Bądźcie przygotowani do aktualizacji, której będzie można dokonać już za dwa dni, 9 lipca :-)
Bad SSL
Jeżeli jeszcze nie możecie połapać się w komunikatach związanych z certyfikatami SSL serwowanych przez przeglądarki to ta strona może okazać się niezwykle pomocna. Skrypt, który wykorzystał autor do wygenerowania certyfikatów można zobaczyć tutaj. — PS. Co prawda tworzone trochę w biegu, ale dzisiaj na Kryptosferze debiutują Rozszerzenia. Będzie to miejsce…
Oficjalny koniec SSL 3.0
O tym, że protokół SSL w wersji 3 nie gwarantuje bezpiecznej transmisji danych wiadomo nie od dziś. Opublikowany właśnie dokument RFC 7568 całkowicie zakazuje jego wykorzystywania.
Aktualizacja biblioteki OpenSSL
Na stronach projektu OpenSSL została opublikowana nowa wersja szeroko wykorzystywanej biblioteki kryptograficznej. Sprawdźmy co przynosi nowe wydanie.
HTTP Public Key Pinning
Public Key Pinning realizowany poprzez nagłówek protokołu HTTP pozwala na poinformowanie klienta (przeglądarki) o powiązaniu danego klucza publicznego z konkretnym serwerem (domeną). Z tego wpisu dowiecie się jak został zaprojektowany, jak działa, jakie przynosi korzyści i w jaki sposób można wdrożyć Public Key Pinning.
Certificate Reputation
Certificate Reputation to mechanizm stworzony przez Microsoft mający na celu zwiększenie ochrony przed atakami z wykorzystaniem fałszywych certyfikatów SSL, które w konsekwencji mogą prowadzić do utraty osobistych danych. Sprawdźmy jakie są główne cechy tego mechanizmu i jak można wykorzystać go do zwiększenia ochrony własnej strony.