Kategorija: Novice

HTTP Strict Transport Security prisili brskalnik v  HTTPS povezavo s spletno stranjo

HTTP Strict Transport Security se zadnje čase pojavlja v novicah, saj se je Google odločil, da doda 45 TLD na HSTS seznam. V tem članku bomo pogledali, kaj je HSTS in zakaj je to učinkovito dopolnilo vaši trenutni implementaciji SSL.

Kaj je HSTS?

HTTP Strict Transport Security je varnostna politika spleta, ki se pošilja preko glave strani, s čimer brskalniki omogočajo varno HTTPS povezavo na spletno mesto. S tem preprečite zasego piškotkov in napade za spremembo protokola. To storite tako, da nastavite parameter Strict-Transport-Security, ki vse povezave naredi varne in ne upošteva skript, ki se poskušajo naložiti prek nevarne povezave HTTP. Glava nastavi časovno obdobje izvajanja parametra.

HSTS je IETF standardni protokol. Določen je v RFC 6797, ki je bil odobren pred petimi leti.

Obstaja eno varnostno tveganje, povezano s HSTS

Continue reading Kaj je HSTS?

Z izdajo Chrome 62 bo Google vsako stran, ki nima varnega obrazca označil z “Ni varno”

Če do sedaj še niste namestili SSL certifikata, bi bil sedaj zadnji čas, da ga. Prihaja namreč pomembna prelomnica. Z izdajo Chrome 62 v oktobru, bo Google vsako stran z nezavarovanim obrazcem za vnos podatkov označil kot “Ne varno”. To ni samo opozorilo za strani, ki imajo nezavarovano prijavno polje z geslom, opozorilo velja za vsa polja kamor uporabnik lahko vnese informacijo.

Google želi s tem doseči univerzalno šifriranje spletnih strani. Podjetje povečuje pritisk na spletna mesta, da bi dodali SSL certifikat. Googlov načrt se ne bo ustavil zgolj pri opozorilu za ne varne obrazce, ampak načrtujejo prikaz opozoril za vse HTTP strani.

Če je vaša stran kaj veš kot blog ali osebna spletna stran, upoštevajte to opozorilo in si zagotovite SSL certifikat. Tudi če samo zbirate e-mail naslove kot del strategije podjetja ali če se vaši uporabniki lahko prijavijo na vašo stran, vam bo žal, da strani niste zavarovali pred izdajo Google Chrome 62.

Continue reading V oktobru prihaja Google-ovo opozorilo “Ni varno”

Le 20% najbolj obiskanih slovenskih spletnih uporablja varno povezavo HTTPS

V začetku meseca smo pisali o uporabi SSL certifikatov na spletnih straneh masovnih medijev. V članku z naslovom Čas je za šifriranje masovnih medijev – zasebnost za vsakogar, smo ugotovili, da veliko najbolj obiskanih novičarskih spletnih strani še ne uporablja https varne povezave. Bralec tako nima omogočene zasebnosti med brskanjem po spletu, kar pridno izkoriščajo oglaševalci za ciljno usmerjeno oglaševanje, ali tretje osebe za zbiranje informacij o vaših interesih.

Objavljamo seznam 20-ih najbolj obiskanih strani* in uporabo HTTPS varnih povezav na njihovih straneh.

Continue reading Uporaba HTTPS varne povezave na najbolj priljubljenih slovenskih straneh

Bolj kot karkoli drugega, bi morali biti zaskrbljeni v zvezi z zasebnostjo

Skupnost brskalnikov ni skrivala svojega skupnega cilja –> šifriranega interneta. Že v letošnjem letu smo videli, da so brskalniki začeli označevati spletna mesta s polji za prijavo, ki niso podana prek HTTPS.

Ena od največjih panog, ki še ni šifrirana, so masovni medij. Če preverimo najbolj obiskane spletne strani ugotovimo, da jih veliko še ni šifriranih. Nekateri to odlašajo do zadnjega trenutka, ko brskalniki to še omogočajo.

Na žalost je to razmišljanje neprimerno za bralce medijev. Razlog za to je preprost: zasebnost.

SSL blokira sledenje

V ZDA in po svetu smo dosegli, da se razprava o zasebnosti širi. Vlada in zasebna podjetja sledijo internetnim uporabnikom, kar pa SSL onemogoča.

Ena od prednosti SSL je, da blokira dejavnost posameznika na vaši spletni strani. Seveda lahko nekdo vidi, da je brskalnik osebe obiskal spletno mesto s protokolom SSL, vendar ne vidi, po katerih straneh brska.

Za posameznika je to velika prednost. Na primer, če ima spletno mesto z novicami perspektivni odsek, za katerega se zanimate in ga redno spremljate, lahko nekdo izbira podrobnosti o vas. Ta vrsta informacij je tisto, kar oglaševalcem omogoča ciljno oglaševanje in omogoča tretjim osebam, da vas profilirajo.

Spletna mesta z novicami imajo dolžnost, da zaščitijo zasebnost svojih bralcev in preprečijo, da bi jih spremljali pri brskanju po njihovih spletnih straneh.

S svobodo tiska pod skoraj nenehnim napadom in rednimi prilivi “ponarejenih novic” bi bilo slabo, če bi videli legitimno novico, ki bi bila označena za “ne varno”. Najslabše je, če izgleda, da je medijem vseeno za zasebnost njihovih bralcev – in prav zato bi morali šifrirati svoje strani.

Napadi DDoS, ki uporabljajo botnete iz naprav IoT, niso le možni – ampak se dogajajo.

DDoS napadi in botneti

Odkar obstaja hekanje, je DDoS je postal eden od najpogosteje uporabljenih napadov. Distributed Denial of Service ali DDoS, prekine delovanje strežnika ali omrežja tako, da ga preobremeni z neželenimi zahtevami in ga zruši.

Da se izklopi napad DISTRIBUTED Denial of Service, se morajo zahteve posredovati prek omrežja računalnikov. Pošiljanje vseh zahtev iz enega računalnika bi bilo logistično nemogoče in prav tako bi bilo enostavno blokirati izvor zahteve.
Namesto tega ustvarite botnet. Če želite to narediti, okužite na stotine, tisoče – morda celo milijone – računalnikov z zlonamerno programsko opremo, ki naprave dejansko spremenijo v bot. Značilno je, da računalnik ne kaže nobenih znakov okužbe, saj zlonamerna programska oprema večinoma miruje, dokler napadalec ne odpre računalnika.
Ko napadalec določi svoj cilj in je pripravljen na začetek, botnet začne pošiljati zahteve v strežnik ali omrežje, ki ga napada. Obseg zahtev (ali neželene vsebine ali karkoli se prenaša), skupaj s številom različnih virov, iz katerih izvirajo zahtevki, zruši strežnik ali omrežje, da je brez povezave.
Ko se poglobiš, je zadeva veliko bolj zapletena, vendar opis zadošča za nadaljnjo razpravo.

Continue reading Izkoriščanje internetnih naprav: kako ustvariti botnet hladilnikov