Mozilla všechny nové funkce v prohlížeči poskytne jen na bezpečném (https) připojení

Mozilla všechny nové funkce v prohlížeči poskytne jen na bezpečném (https) připojení, viz Secure Contexts Everywhere. Nejsem si příliš jist, že tohle je správný krok. Ale čas ukáže.

2018-01-15 18_02_54-Secure Contexts Everywhere _ Mozilla Security Blog.png

V říjnu začne Chrome (verze 62) varovat návštěvníky HTTP webů, že formuláře nejsou bezpečné

V říjnu začne Chrome (verze 62) varovat návštěvníky HTTP webů, že formuláře nejsou bezpečné. Vcelku nic nového, Google o tomhle už několik měsíců mluví. Varování se objeví i pokud na HTTP stránku vejdete v anonymním/incognito režimu. Tento týden začal Google e-mailem varovat správce webů, viz Google emails warnings to webmasters that Chrome will mark http pages with forms as ‘not secure’

google-chrome-security-warning-detail-1503055589.png

Kdosi provozující přihlášení přes nešifrované HTTP si u Mozilly stěžuje na chybu ve Firefoxu

Kdosi provozující přihlášení přes nešifrované HTTP si u Mozilly stěžuje na chybu ve Firefoxu. Vadí mu, že nové verze Firefoxu posílání hesel přes nešifrované spojení označují za nebezpečné. Viz Firefox gets complaint for labeling unencrypted login page insecure kde najdete i formulaci k neuvěření, kterou onen člověk použil. A také to, že jim to už mezitím nejspíš někdo hacknul přes SQL injection a zjistil takové ty klasiky (jako třeba hesla uložena v plaintextu). Předmětná nešifrovaná přihlašovací stránka mezitím přestala fungovat.

bugzilla-fun-https.jpg

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů.

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů. V Newly discovered flaw undermines HTTPS connections for almost 1,000 sites mezi postiženými najdete například i www.blesk.cz. Chyba K05121675: F5 TLS vulnerability CVE-2016-9244 se netýká přímo samotného webu, ale používaných zařízení pro load balancing či firewallu. Další detaily též viz Ticketbleed (CVE-2016-9244)

2017-02-11 14_49_10-Ticketbleed (CVE-2016-9244).png

 

Symantec opět vydává nebezpečné HTTPS certifikáty

Symantec opět vydává nebezpečné HTTPS certifikáty. Nejde přitom o žádnou maličkost, přes stovku vydaných certifikátů nikdy neměli vydat, ohrožují bezpečnost a umožňují v řadě případů odposlouchávat https komunikaci. Viz Already on probation, Symantec issues more illegit HTTPS certificates a Misissued/Suspicious Symantec Certificates kde najdete příklad certifikátů vydaných pro example.com o které vlastník nežádal.

2017-02-05 10_40_26-crt.sh _ test.png