Pull to refresh
  • by relevance
  • by date
  • by rating

Let's Encrypt начнёт выдавать wildcard-сертификаты в январе 2018 года

Hosting Domain names administrating *Server Administration *
Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.

Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Views 14K
Comments 50

Сертификаты Let's Encrypt обрели официальную поддержку

Information Security *
image

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 9K
Comments 5

В России планируют обязать Microsoft, Google и другие компании использовать государственный SSL-сертификат

Information Security *
Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети


Фото: Дмитрий Коротаев / Коммерсантъ

Администрация президента сейчас ведет работу по созданию государственного удостоверяющего центра (УЦ), который будет выдавать сайтам в русскоязычном сегменте Сети государственные SSL-сертификаты, пишет «Коммерсант». «Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете»,— сообщил источник, близкий к администрации президента (АП).

О начале реализации такого проекта сообщил и глава Фонда информационной демократии Илья Массух. Он сказал, в частности, что создание УЦ бужет обсуждаться специальной рабочей группой «по использованию информационно-телекоммуникационной сети интернет в отечественной экономике». Эта группа создана в начале февраля этого года решением главы администрации президента Сергея Иванова. В рамках группы создана подгруппа «Интернет плюс суверенитет», в которой «будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний-разработчиков отечественных браузеров — „Яндекс.Браузер“ и „Спутник“».
Читать дальше →
Total votes 29: ↑27 and ↓2 +25
Views 24K
Comments 387

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

GlobalSign corporate blog Domain names administrating *Interfaces *Server Administration *Browsers


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 12K
Comments 36

Из-за просроченного сертификата CDN у GitHub «поехала» вёрстка. Проблему исправили

GitHub IT-companies

Внешний вид веб-интерфейса GitHub 2 ноября 2020 года (примерно с 2 до 3 часов ночи по московскому времени). Нормально отображался текст, ссылки и эскизы.

По информации издания Bleeping Computer, сегодня ночью в течение часа веб-интерфейс сервиса GitHub не работал как положено. В нем не было изображений, также пользователи фиксировали проблемы с работой JavaScript-сценариев.
Total votes 7: ↑5 and ↓2 +3
Views 2.7K
Comments 1

Браузер Chrome начал по умолчанию добавлять https:// ко всем адресам

ITSumma corporate blog Information Security *Google Chrome IT Standards *Browsers


Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 12K
Comments 29

The Bat 3.98.1

Software
The Bat!, ещё один любимец на просторах Восточной Европы. Особенная программа, с массой функций, облегчающих жизнь при наличии интенсивной переписки и работе с несколькими почтовыми ящиками. При необходимости The Bat! поможет отсортировать и перенаправить почту, проверить заголовки писем для скачивания только необходимых, зашифрует корреспонденцию средствами сильного шифрования и заберёт почту с серверов поддерживающих защищённые (SSL) соединения по протоколам SMTP и POP3.

Скачать The Bat! 3.98.1:
thebat_pro_3-98-1.msi (12.8Mb, версия The Bat! Pro)
thebat_home_3-98-1.msi (5.9Mb, версия The Bat! Home)
intpack_3-98-1.msi (4.6Mb, языковой модуль)

О разнице между версиями Pro и Home можно почитать на официальном сайте. В двух словах: Pro версия сразу после установки имеет все доступные языки интерфейса и поддерживает аппаратные средства средства авторизации (токены). Поддержку дополнительных языков интерфейса можно включить и в версии Home, но для этого надо скачивать и устанавливать языковой модуль.

Что нового в версии The Bat 3.98.1?
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 769
Comments 4

В сервисах Веб 2.0 хакеры нашли «фундаментальную уязвимость»

Information Security *
На хакерской конференции Black Hat в этом году было много интересных докладов и презентаций. Например, один из докладов был посвящён перехвату личных данных, которые передаются по беспроводной сети WiFi. Взлом основан на считывании cookies, так что этой уязвимости подвержены любые современные веб-сервисы, включая почтовые службы Gmail и Yahoo Mail.

Роб Грэм, исполнительный директор хакерской компании Errata Security лично продемонстрировал, как работает сниффер. Он функционирует следующим образом: анализируя трафик, программа вычисляет «кукисы», которые используются для авторизации сессий. Копируя их на свой компьютер, злоумышленник получает возможность зайти на тот или иной веб-сайт от имени жертвы.
Читать дальше →
Total votes 17: ↑11 and ↓6 +5
Views 959
Comments 20

Pangalink — способ оплаты для магазинов

Lumber room
Банковская ссылка (pangalink) — способ обмена данных купли-продажи между клиентом, банком и магазином, распространённая прежде всего в Эстонии. Этот способ предоставляется банками в виде платной услуги магазинам и кроме возможности оплаты имеется возможность авторизации пользователей (что используется например на учебном sais.ee ). Зачем это надо? Потому что для клиента это очень удобно, судите сами — весь процесс оплаты счёта:
  1. Клиент выбирает нужные товары и получает в итоге счёт и ссылку на банк
  2. Внутри ссылки зашиты все данные об оплате и счетах, и подтверждены криптоустойчивой подписью (signature). Клиент оплачивает в банке полноценный информативный счёт.
  3. Банк редиректит клиента обратно на сайт опять со всеми данными об оплате вместе с подписью.

Отчасти поэтому в Эстонии уже есть и arved.ee и практически в каждом магазине иконки банков. В общем для работы необходимы:
  • уникальный id, выдаётся в банке после заключения договора
  • сертификаты — публичныйключ банка и собственные публичные и приватные ключи
  • собственно программа для обмена данными

Криптография

Поскольку всё происходит в защёщённом SSL режиме, то надо иметь банковский публичный ключ что-бы сгенерировать сообщение банку и наоборот, иметь личный ключ что-бы разкодировать сообщение которое сгенерировал банк публичным ключём магазина. Таким образом приватный ключ магазина выглядит примерно так (данных в base64 -кодировке больше просто)-----BEGIN RSA PRIVATE KEY-----
MIICWwIBAAKBgQC6GI5uaA7hEkgeP98VHL6TSxJwwPI+Mh+rFx KQPCgarT3/nZCS
Gz1r223+gfH/adV4IDvlbYT18VQ4vSspX+QRAidFeZvsfv99Fe wnwNoTL3LwYp/K
r9eW5YCpCEe8Crziks0vf92PNoHgNAL0iVo0Zma1ScDBSPBlQJ oZ1UiwoQIDAP//
-----END RSA PRIVATE KEY-----
И соответсвенно вместо PRIVATE, у публичного ключа другие данные и PUBLIC заголовок. Естественно что приватный ключ на то и приватный, и если он вдруг засветится, то любой желающий с достаточным умением сможет подписать фиктивную оплату товара. Ключи можно сгенерировать при помощи OpenSSL.

За работу на php

Я пишу на php, храню ключи в .pem файле и методом POST передаю всё в банк формой. А именно..Создаём форму с POST методом, в качестве action ставим URL банка где данные принимаются. Для hanza это www.hanza.net/cgi-bin/hanza/pangalink.jsp. Теперь в форму прописываем hidden-поля с названиями типа VK_RETURN (ссылка куда надо вернуться после оплаты). У каждого банка свои переменные и свой порядок. Всё это дело подписывается такой же переменной VK_MAC, которая генерируется фукциями openssl_pkey_get_private и openssl_sign.После того как товар оплачен надо сделать подтверждение оплаты на своём сайте. Для этого мы из REQUEST переменной выдираем что нам выслал банк и подтверждаем подпись используя openssl_pkey_get_public и openssl_verify из той же VK_MAC. Ну а если подпись банка правильная и VK_SERVICE=1101, то всё в порядке.Вот пример zone.eepay.php с формой оплаты, notify.php с подтверждением и config.php с настройками. Подобное можно сотворить и на c++, но естественно с большими нервами.
Total votes 3: ↑2 and ↓1 +1
Views 343
Comments 12

VeriSign распродаёт непрофильные активы

Domain names administrating *
Компания VeriSign объявила о масштабной реструктуризации с целью продажи непрофильных активов, чтобы сосредоточиться на своём основном бизнесе регистрации доменных имён и сертификации сайтов. Как известно, гигант домейнерского бизнеса является главным регистратором доменов .com, .net, .tv, а также поддерживает два из корневых серверов DNS и выдаёт сертификаты для системы Secure Socket Layer (SSL). В данной сфере VeriSign работает с самого момента своего основания двенадцать лет назад. «Два абсолютно ключевых сервиса, которые у нас есть — это SSL и DNS, — говорит Кен Силва, вице-президент и директор по безопасности VeriSign. — Мы участвовали в создании этих рынков с момента создания этих протоколов… Они находятся в самом сердце того, что мы делаем». Именно эти активы приносят VeriSign основную часть прибыли, а всё лишнее планируется продать.

Переживёт реструктуризацию также подразделение VeriSign Identity Protection. По мнению руководства, бизнес защиты доменов от киберсквоттеров имеет хорошие перспективы роста.

Сменит собственника ряд подразделений, в том числе коммуникационные сервисы и подразделение платёжных систем. Возможно, будут проданы также подразделения Managed Security Services, Mobile Messaging и Content Delivery Network. Продажа активов будет осуществлена в течение 2008 года, крайний срок — начало 2009 года.

via Internet News
Total votes 5: ↑5 and ↓0 +5
Views 548
Comments 0

SSL-Explorer

Lumber room
Захотелось мне стать владычицей морскою… ну, то есть чтобы моей сетью домашней я могла управлять, будучи в любом месте (оборудованном доступом в Интернет, разумеется). С удаленным управлением отдельного компьютера справиться легко — решений по удаленному администрированию множество…
Но у меня дома три компьютера, и хочется в любое время иметь доступ к информации на каждом из них без хлопот и забот.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 1.3K
Comments 12

GMail под прицелом

IT-companies
Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту.

Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register.

Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие».

Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов.
Почитать еще
Total votes 13: ↑7 and ↓6 +1
Views 260
Comments 4

Крик души: SSL + Firefox + Flash multiupload = разрыв мозга!

Lumber room
Ситуация такая: пишим проект на ASP. NET.

Задание: Сделать мульти-аплоад для файлов. Не просто мультиаплоад. А чтобы и файлов сразу при нажатии на BROWSE можно много выбирать было.

Упс: input type=«file»… этого не умеет =)

Решение: использовать Flash Multiuploader. Любой. Взяли swfupload

Как работает: есть JS, есть Flash. Они общаются друг с дружкой. При нажатии на кнопку browse, JS вызывает функцию FLASH компонента, она открывает файловый диалог, юзер выбирает файлы, жмет open, flash (ему при создании указывается урл куда загружать) начинает поочереди post-ить файлы по определенному урлу. Работает!!!

Что беспокоит? =) Клиент захотел SSL. Везде. Включили. Во всех браузерах кроме IE перестали загружаться файлы. IOError.

Погуглил. Многие сталкиваются с этой проблемой. На официальном сайте swfupload по поводу SSL оказывается написано:
«There have been some reports that the Flash Player cannot upload through SSL. The issue has not been pinned down but uploading over SSL may be unreliable.»

Хо-хо-хо. Вот где задница, извините. Придется юзать jupload наверное — уродский джава-апплет.

Конец.
Total votes 20: ↑17 and ↓3 +14
Views 260
Comments 12

PayPal заблокирует «опасные» браузеры, в том числе Safari и старые IE

Information Security *
Платёжная система PayPal планирует заблокировать доступ к своим финансовым сервисам с помощью браузеров, которые не поддерживают технологию автоматического блокирования поддельных сайтов, а также не поддерживают сертификаты EV SSL. В число запрещённых может войти и Safari, где поддержка EV SSL пока не планируется.

Компанию PayPal можно понять, ведь она является одной из главных целей для фишинга. По словам представителей платёжной системы, если разрешить браузеры без антифишинговой технологии, то это равносильно тому, как если бы производители автомобилей разрешили пользователям покупать машины без ремней безопасности. Позволяя таким «безбашенным» юзерам спокойно ходить по своему сайту, компания PayPal, фактически, удобряет почву для фишеров.

На первом этапе пользователи с небезопасными браузерами будут получать предупреждения, а в ближайшем будущем некоторые из браузеров планируется запретить полностью.

Возможно, примеру PayPal вскоре последуют банки и другие финансовые сервисы, которые традиционно страдают от фишинга. По статистике Gartner, в прошлом году жертвами таких мошенничеств стали 3,6 млн клиентов финансовых сервисов, которые потеряли в общей сложности $3,2 млрд.
Total votes 43: ↑41 and ↓2 +39
Views 1.2K
Comments 34

SSL из PHP: socket и cURL

Website development *
Сегодня, этим сонным летним утром, я расскажу вам про SSL соединение из PHP скрипта. Расскажу исходя не только лишь из теории, а ещё и решая вполне себе практическую задачу — логин на гугловский блогосервис blogger.com.

поехали
Total votes 25: ↑15 and ↓10 +5
Views 50K
Comments 21

The Middler: программа для взлома незащищённых аккаунтов Gmail

Information Security *
На хакерской конференции Defcon был показана программа The Middler (с открытыми исходниками, написана на Ruby) для автоматического сбора аккаунтов у пользователей Gmail, которые не включили у себя в настройках функцию всегда использовать защищённое соединение (“Always use https”).



Кстати, программа подходит не только для Gmail, но и для других сервисов, которые используют HTTPS только для аутентификации, а потом не защищают сессию. На хакерской конференции был успешно произведён демонстрационный взлом одного из онлайн-банков, сервисов LinkedIn, LiveJournal и Facebook, вмешательство в процесс апдейта программного обеспечения на ПК и iPhone и внедрение вредоносного Javascript прямо в сессии браузера во время сёрфинга по безопасным сайтам.

The Middler не только автоматически анализирует сетевой трафик и находит в нём кукисы, но и самостоятельно запрашивает кукисы со стороны клиента, то есть процесс автоматизирован по максимуму. Программа гарантирует сбор всех незащищённых аккаунтов в компьютерной сети (или публичном хотспоте), к трафику которой она имеет доступ.
Читать дальше →
Total votes 175: ↑158.5 and ↓16.5 +142
Views 12K
Comments 87

Google chrome не пускает меня на Google reader

Lumber room
Вот что делают особо продвинутые системы безопасности в Chrome:



Такое предупреждение возникает если в аккаунте gmail включен SSL и пользователь из такого аккаунта по внутренней ссылке переходит в google reader. Чем то напоминает диалоговые окна windows в которых спрашивается о том можно ли доверять корпорации microsoft.
Total votes 37: ↑17 and ↓20 -3
Views 243
Comments 12