Kategorija: Novice

Google Chrome 68 zahteva HTTPS. Ste že namestili SSL certifikat?

24. 7. 2018 je Google izdal različico programa Chrome 68. To so napovedovali že dve leti. Če torej uporabljate Chrome, boste opazili bistvene spremembe.

Spremembe v Chrome 68

Od 24.7. naprej bo vsaka stran preko HTTP pred naslovom v naslovni vrstici imela negativni indikator “Ni varno”.

Google načrtuje spremembe v uporabniškem vmesniku tudi v prihodnjih različicah. Ko bo nekdo hotel vnesti besedilo na HTTP strani, se bo opozorilo v naslovni vrstici obarvalo rdeče. Tudi to še ni vse. Trenutno so strani, ki imajo HTTPS označene kot “Varno” in imajo na levi strani naslova v naslovni vrstici zeleno ključavnico.

Ampak ne za dolgo – v prihodnji izdaji Chrome, namerava Google v celoti odpraviti kazalnik varnosti za DV in OV certifikate. Zakaj Google to počne smo že pisali v članku z naslovom Prihajajo negativni varnostni kazalci. Na kratko:

Continue reading Izšel je Chrome 68, vse HTTP strani bodo sedaj označene kot “Ni varno”

Pravilnik o funkcijah (Feature Policy) bo omogočal spletnim mestom vklop ali izklop nekaterih funkcij brskalnika

V juliju je varnostni raziskovalec Scott Helme svetu predstavil Pravilnik o funkcijah. Pravilnik o funkcijah je nova varnostna glava, ki lastnikom spletnih strani omogoča vklop ali izkop nekaterih funkcij spletnega brskalnika – ne samo na njihovi spletni strani ampak tudi na tistih, ki jih vdelajo.

Deluje tako, da so pravila o funkcijah posredovana preko glave http. Ustvarjanje je enostavno kot ustvarjanje katere koli druge glave. Lastniki spletnih mest morajo preprosto določiti, katere funkcije želijo omejiti in nato izdelati pravilnik. Na primer:

Continue reading Kaj je pravilnik o funkcijah? Uvod v novo varnostno glavo

Onemogočite TLS 1.0

Imate spletno trgovino? Ali sprejemate spletna plačila? Vas skrbi, da boste kaznovani? Če je odgovor na vsa tri vprašanja “da”, morate takoj onemogočiti TLS 1.0. Časa za razmišljanje imate le še nekaj dni!

Payment Card Industry Security Standards Council (PCI SSC) je neodvisen organ ki so ga leta 2006 ustanovili American Express, Discover Financial Services, JCB International, MasterCard in Visa Inc. Organ je bil ustanovljen za zaščito podatkov na kartici. Določili so dvanajst osnovnih zahtev za vse prodajalce, ki sprejemajo spletno plačevanje. Medtem ko te zahteve niso del nobenega zakona, so jih podjetja za plačilne kartice dala kot obvezna za trgovce, ki sprejemajo plačila s karticami. Če trgovec ni skladen, se lahko soočijo z mesečnimi denarnimi kaznimi do 100.000 dolarjev.

PCI DSS v3.1, objavljen aprila 2015, je imel rok za selitev iz SSL in zgodnjega TLS na novejše, varnejše različice do junija 2016. Tukaj “selitev iz SSL in zgodnjega TLS” pomeni onemogočanje podpore za starejše različice SSL in TLS. Sčasoma je bil ta rok podaljšan za dve leti, 30. junija 2018 pa je določen kot nov rok.

Continue reading Do 30. junija imate čas za izklop TLS 1.0

Pripravite se, prihajajo negativni kazalniki SSL

26. julija bo Google Chrome, najbolj priljubljen brskalnik na svetu, označil vsako spletno stran, ki nima nameščenega SSL certifikata. Nekateri vidijo to potezo kot googlov zadnji met kocke proti HTTP. V nasprotju s tem prepričanjem pa se bo začela nova igra – ta igra bo izkoreninila vse pozitivne varnostne indikatorje (npr. besedo “Varno” in ikono ključavnice) in namesto tega bo uvedla negativne varnostne kazalnike.

Zakaj Google to počne?

Google je v letu 2014 objavil svojo akcijo šifriranja celotnega spleta. Od takrat je HTTPS dosegel neverjetno širino. HTTPS je tako razširjen, da Google verjame, da bi moral HTTPS biti privzet in da morajo biti mesta, ki niso zaščitena s HTTPS, posebej označena.

Da poenostavimo, spletna mesta bi potrebovala nekaj spodbude, da bi se uporaba HTTPS širila. Sedaj pa, ko HTTPS postaja standard, Google ne potrebuje takšnih spodbud v obliki pozitivnih kazalnikov, temveč se zdaj obrača na negativne varnostne kazalnike.

Če smo iskreni, Google dela prav. Pozitivni indikatorji “Varno” pogosto zavajajo uporabnika, saj le-ta misli, da je stran varna, v resnici pa je samo šifrirana. To še posebej velja v primeru potrdila DV SSL in njegovih vizualnih kazalnikov. DV SSL kazalniki so premočni in pogosto glavna sestavina uspešne lažne predstavitve (t.i. phishing strani).

Sedaj, ko so SSL certifikati tudi brezplačni in jih je enostavno namestiti, jih veliko izrablja za prevaro uporabnikov z lažnim predstavljanjem.

To bi se lahko omejilo na dva načina: s širjenjem ozaveščenosti ali z odpravljanjem zavajajočih pozitivnih kazalnikov z nadomestitvijo z negativnimi varnostnimi kazalci. Težko bi bilo vse naučiti vse o URL-jih, SSL-ju, šifriranju in lažnem predstavljanju. Tako je Google izbral drugo možnost.

Continue reading Prihajajo negativni varnostni kazalci

Prvi dan uveljavitve zakona o GDPR avstrijski zasebniki za zasebnost tožili Google in Facebook.

Max Schrems, avstrijski aktivist za zasebnost, je že dolgo čakal na ta dan. Google je tožil za 3,7 milijard evrov, Facebook pa za 3,9 milijard. Tožbe so razčlenjene, da ciljajo na določene izdelke, kot so Instagram, WhatsApp in Android OS.

Shrems je družbi Financial Times že povedal, da “v celoti vedo, da bo to kršitev … Tega niti ne skušajo skriti.”

Google in Facebook se s tem ne strinjata. Pri Googlu pravijo, da so zgradili zasebnost in varnost že v najzgodnejših fazah in se zavzemajo za uskladitev z EU GDRP.  Pri Facebook-u pa navajajo, da so se preteklih 18 mesecev pripravljali na GDRP in se uskladili z le-tem.

Continue reading Vesel GDPR dan. Google in Facebook sta prejela za 8,8 milijard dolarjev tožb