Security Lab

HTTPS

1635
HTTPS
HTTPS (HyperText Transfer Protocol Secure) — это защищенная версия протокола передачи данных HTTP, используемого для обмена информацией в Интернете. HTTPS обеспечивает безопасное соединение между веб-сервером и веб-браузером, обеспечивая конфиденциальность, целостность и аутентификацию данных.

Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!


Curl 8.4.0: новая версия исправляет ошибки переполнения буфера и инъекции cookie

«Я всего лишь человек», – прокомментировал свою ошибку главный разработчик проекта.

От геополитики к доступности связи: DDoS-атаки охватили весь мир

Как глобальные события способны повлиять на скорость вашего Интернета?

Сапожник без сапог: защиту Cloudflare от DDoS удалось обойти через Cloudflare

Метод атаки может сделать системы защиты компании менее эффективными.

Microsoft принудительно обеспечит безопасность Exchange Server, хотите вы этого или нет

Даже самые ленивые администраторы больше не смогут пустить ситуацию на самотёк.

Новый инфовор «Statc Stealer» вытащит все конфиденциальные данные прямо из вашего браузера

Написанный на C++ вредонос попадает на компьютер через поддельные рекламные баннеры.

Туннельные хакеры: как сеть Cloudflare стала их главным оружием

Исследователи из GuidePoint дали дельные рекомендации, чтобы защититься от новой угрозы.

Википедия стала инструментом для маскировки нового вредоносного загрузчика WikiLoader

Исследователи Proofpoint раскрыли методы и замыслы цифровых негодяев.

Инфостилер BundleBot притворяется Google Bard и похищает данные пользователей Facebook*

Однофайловый автономный .NET-вредонос не обнаруживается антивирусами и скрытно похищает данные своих жертв.

Ностальгическая вспышка: USB-носители снова используются для распространения вредоносного софта

Эксперты Mandiant зафиксировали трёхкратный рост атак через повсеместно используемые флеш-накопители.

PyLoose: новый метод бесфайловой атаки на облачную инфраструктуру

Всего девять строк кода позволяют злоумышленникам использовать высокопроизводительные серверы для майнинга криптовалюты.

Китайские хакеры Chameldgang используют DNS-over-HTTPS для обмена вредоносным трафиком

Новая версия вредоноса направлена на Linux, не фиксируется антивирусами, а нарушить её связь с C2-сервером невозможно.

Gmail повышает доверие к брендам: теперь вы увидите галочку у проверенных компаний

Синяя галочка подтвердит легитимность отправителя.

Новый Google Chrome лишится значка замка для HTTPS-сайтов

Замок будет заменён всплывающим меню для настройки сайта.

YouTube стал инициатором кибератак с кражей данных пользователей

Мошенники используют электронную почту YouTube, чтобы обмануть пользователей.

Frames Frames: новый способ взлома Wi-Fi, о котором вы должны знать

Эксперты рассказали, как злоумышленник может перехватить ваш трафик, если вы отключились от Wi-Fi.

Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.

Исследователи выявили 85 серверов управления китайского инструмента ShadowPad

И стали ближе к эффективному методу борьбы с киберпреступниками.

Исследователи выпустили эксплойт для критической уязвимости Fortinet

Теперь можно увидеть наглядно, как киберпреступник может полностью завладеть вашим компьютером.

Android раскрывает трафик пользователей при подключении к Wi-Fi

Из-за неправильной настройки VPN на Android пользователи рискуют своей конфиденциальностью.

Операторы IcedID разнообразили методы доставки вредоносного ПО

Однако, изменения отрицательно повлияли на инфраструктуру злоумышленников.

Tor неостановим: последнее крупное обновление открыло новые возможности по обходу интернет-цензуры

Браузер версии 11.5 способен автоматически обходить блокировку технологии Tor.

Мал да удал: богомол способен атаковать со скоростью 26 млн. запросов в секунду

Cloudflare предотвратила крупнейшую DDoS-атаку в истории

Поддержка плагина HTTPS Everywhere прекратится в 2022 году

Поскольку 90% трафика в интернете шифруется, HTTPS Everywhere стал ненужным.

Совсем скоро Firefox начнет блокировать загрузку HTTP-контента с HTTPS-страниц

Новая функция уже доступна в бета-версиях Firefox, версиях для разработчиков и ночных сборках.

В браузере Google Chrome появится новый режим «только HTTPS»

Пока что новый режим находится на стадии разработки в Chrome Canary 93, и появится ли он в стабильной версии Chrome 93, неизвестно.

Представлен новый метод MitM-атак на HTTPS

Техника работает при условии, что у злоумышленника есть возможность перехвата трафика на уровне TCP/IP.

Chrome 90 будет добавлять HTTPS в URL, если пользователь не укажет протокол

Если в набираемом URL протокол указываться не будет, браузер автоматически будет добавлять префикс HTTPS и загружать сайт по HTTPS.

Техногиганты заблокировали казахстанский HTTPS-сертификат, используемый для слежки

Власти Казахстана оправдывали свои действия тем, что они якобы проводили учения по кибербезопасности для государственных органов.

Казахстан предпринял новую попытку обязать граждан установить корневые сертификаты

После установки на устройстве пользователя сертификат позволит властям перехватывать весь HTTPS-трафик.

Каждый третий смартфон с операционной системой Android в начале следующего года перестанет открывать многие сайты.

1 сентября следующего года заканчивает срок перекрёстного соглашения Let's Encrypt с IdenTrust, и продлевать его не будут.

Google создаст для Chrome собственное хранилище корневых сертификатов

Браузеры, в том числе Chrome, используют список корневых сертификатов для проверки подлинности HTTPS-соединения.

Атака Raccoon позволяет при определенных условиях взломать TLS

Raccoon представляет собой атаку по времени (timing attack) на процесс обмена ключами в протоколе Диффи-Хеллмана.

Китайские власти стали блокировать HTTPS-трафик

«Великий китайский файрвол» теперь блокирует HTTPS-соединение, мешающее фильтровать и цензурировать трафик.

Apple призвала разработчиков использовать IPv6, HTTP/2 и TLS 1.3

Компания агитирует разработчиков приложений для iOS и macOS использовать новые web-технологии.

Преступники скрывают вредоносные сайты за SSL-сертификатами

Предприятия, не выполняющие проверку SSL-сертификатов, подвергают себя большому риску атак.

Google отложила отказ от поддержки TLS 1.0 и TLS 1.1 в Chrome

Новая версия Chrome 81 по-прежнему поддерживает TLS 1.0 и TLS 1.1, хотя Google изначально планировала отказаться от них.

В Firefox 76 будет добавлен режим HTTPS Only

После активации нового режима Firefox будет автоматически заменять HTTP на HTTPS.

Chrome 83 начнет блокировать некоторые загрузки через HTTP

Браузер будет блокировать некоторые загрузки по HTTP только с сайтов, использующих HTTPS.

Google придумала, как заставить сайты перейти на HTTPS

В Chrome постепенно будут вноситься изменения, которые в итоге приведут к полной блокировке загрузки контента по HTTP.

Chrome, Safari и Firefox будут блокировать казахстанские корневые сертификаты

Google, Apple и Mozilla решили блокировать казахстанские сертификаты безопасности, так как они позволяют следить за пользователями.

CA/Browser Forum предложил вдвое сократить срок действия SSL-сертификатов

Сокращение жизненного цикла сертификатов увеличит затраты компаний и доставит дополнительные хлопоты.

Трафик Telegram теперь может маскироваться под протокол HTTPS

Маскировка нужна для сокрытия факта использования мессенджера.

Южная Корея начала блокировку HTTPS-трафика с помощью SNI-фильтрации

До недавнего времени SNI-фильтрация использовалась сравнительно редко.

Google Chrome начал помечать HTTP-сайты как небезопасные

С октября Chrome будет отображать красную пометку «Не защищено» при вводе информации на HTTP-сайтах.

С сентября Google перестанет отображать индикатор безопасного соединения в Chrome

Не поддерживающие HTTPS сайты будут отображаться как «небезопасные».

Apple исправила связанную с HSTS уязвимость в Safari

Проблема позволяла отслеживать пользователей с помощью большого количества доменов.

С июля 2018 года Chrome начнет помечать сайты с HTTP как небезопасные

Решение указывать в адресной строке, что использующий HTTP сайт небезопасен, станет завершающим этапом обширной стратегии Google.

Почти треть сайтов из Alexa Top 100 уязвимы к криптографической атаке ROBOT

К атаке ROBOT уязвимы продукты ряда производителей, в том числе Cisco, Citrix, F5 и Radware, а также 27 популярных сайтов, включая Facebook и PayPal.

МВБ США обязало федеральные агентства использовать DMARC и HTTPS

Все федеральные агентства должны будут внедрить технологии HTTPS, DMARC и STARTTLS в течение следующих нескольких месяцев.

Крупнейшие военные компании мира пренебрегают защитой своих сайтов

Lockheed Martin, Boeing, Raytheon и Northrop Grumman до сих пор не используют HTTPS-шифрование на своих официальных сайтах.

Сайты Рунета массово переходят на HTTPS

За год количество сайтов с SSL-сертификатами увеличилось в четыре раза.

Заголовки TCP/IP позволяют определить, что смотрит пользователь Netflix

Используемая Netflix реализация HTTPS позволяет узнать, какие программы смотрит пользователь.

Продукты для проверки HTTPS-трафика делают подключение более уязвимым

Команда экспертов из Google, Mozilla, Cloudflare провела исследование продуктов для проверки HTTPS-трафика.

Антивирусы и межсетевые экраны влияют на безопасность HTTPS

Антивирусы и защитные решения перехватывают TLS-соединения для контроля сетевого трафика.

Объем зашифрованного трафика в Сети превысил объем незашифрованного

По состоянию на 29 января 2017 года на долю HTTPS-трафика пришлось 50,01764%.

95% HTTPS-серверов уязвимы к атаке «человек посередине»

Только 5% HTTPS-серверов используют корректно настроенный HSTS.

Новая уязвимость в OpenSSL угрожает миллионам HTTPS-сайтов

Проблема позволяет провести атаку «человек посередине» на сайты, поддерживающие SSLv2.

Google призывает сайты использовать HTTPS

Разработчики Drupal исправили уязвимость в механизме обновления системы

Исправления для популярной CMS будут загружаться по HTTPS.

Эксперты изучили надежность HTTPS-соединения крупных компаний

19,4% серверов, поддерживающих HTTPS, используют недоверенные сертификаты.

Администрация «ВКонтакте» опровергла возможность перехвата сообщений по Wi-Fi

Представители соцсети заверили пользователей в безопасности их сообщений.

Отправленные через HTTP-запрос cookie-файлы могут «обмануть» HTTPS-соединение

Пользователи последних версий браузеров могут не беспокоиться об угрозах безопасности.

Депутат РФ призывает госорганы шифровать жалобы и заявления граждан

Сообщения россиян через ресурсы госорганов часто передаются в открытом виде.

Google: Разработчики приложений для iOS 9 должны отказаться от HTTPS-соединения

Протокол App Transport Security может помешать разработчикам получать доход от Google-рекламы.

Wikipedia полностью перейдет на HTTPS

Процесс перехода к использованию защищенного протокола на сайтах Wikimedia Foundation был начат еще несколько лет назад.

Федеральные ведомства США переходят на стандарт шифрования HTTPS

Все сайты федеральных учреждений должны перейти на HTTPS до 31 декабря 2016 года.

Skyhigh: Сотни облачных сервисов уязвимы к атаке Logjam

АНБ могло использовать Logjam для атаки на VPN серверы.

Бесплатный интернет от Facebook: Индийцы получат доступ только к не использующим HTTPS сайтам

Проходящий через прокси-серверы Internet.org трафик не может поддерживать HTTPS (SSL/TLS).

Рекламные платформы Google переходят на HTTPS-протокол

В настоящее время сервисы Gmail, YouTube и Google Drive уже перешли на HTTPS-протокол.

Netflix намерена перейти на протокол безопасности HTTPS

Переход на HTTPS-протокол поспособствует обеспечению безопасности пользовательских данных.

Mozilla может отказаться от поддержки HTTP в Firefox

Отказ от поддержки HTTP предоставит больше приватности и меньше шансов для атак киберпреступников.

Pinterest будет платить за обнаруженные уязвимости

Социальный интернет-сервис будет выплачивать до $200 за выявленные уязвимости.

Обама призывает все правительственные сайты США использовать протокол HTTPS

Предложение коснется всех ресурсов, которые предоставляют правительственную информацию или определенные государственные услуги американским гражданам.

Google будет «спускать» ссылки на небезопасные сайты

С целью воплотить свою идею поисковый гигант уже некоторое время тестировал технологию отмечания страниц, на которых HTTPS-шифрование установлено по умолчанию.

LinkedIn ответил на критику со стороны Zimperium

В LinkedIn утверждают, что новый способ шифрования Secure Sockets Layer (SSL), который используется web-сайтом, не влияет на безопасность личной информации пользователей.

Исследователи: HTTPS не гарантирует конфиденциальности

По мнению экспертов, разоблачения Сноудена создали протоколу имидж универсальной защиты от слежки.

High-Tech Bridge: 75% сайтов интернет-магазинов не поддерживают SSL сертификаты расширенной проверки

Только 2% проверенных сайтов защищают данные клиентов посредством принудительного задействования протоколов защищенной связи.

В App Store устранены множественные уязвимости

Компания Apple защитила пользователей от хищения паролей и установки злоумышленниками платных приложений.

Авторы BEAST разработали новый метод взлома HTTPS

Исследователи Джулиано Риццо и Тай Дуонг намерены представить новый метод взлома HTTPS в ходе конференции Ekoparty в Аргентине.

Web-сайты с поддержкой протокола HTTPS уязвимы к MiM-атакам

По данным компании TIM, небезопасными являются 90% крупнейших сайтов.

Google ввела изменения в метод шифрования HTTPS трафика для своих продуктов

Новое HTTPS решение от Google используют ECDHE_RSA код для обмена ключами и алгоритм шифрования RC4_128 .

Google будет использовать HTTPS для обеспечения приватности пользователей

Использование HTTPS-протокола позволит поисковой системе Google обеспечить конфиденциальность поисковых запросов и результатов выдачи.

Twitter будет использовать защищенный протокол HTTPS по умолчанию

Сервис микроблогов Twitter намеревается использовать защищенный протокол HTTPS по умолчанию для всех пользователей с целью повышения безопасности передачи данных.

Google приступила к тестированию защищенной версии Gmail

В том случае, если оценочное тестирование будет признано успешным, то на новый вариант перейдут все пользователи Gmail.

CookieMonster ворует cookies с персональной информацией

Программист Майкл Перри разработал инструментарий CookieMonster, позволяющий обманным путем получить cookies, используемые для авторизации на различных ресурсах.