Мудрость добро, а добро – мудрость.

18-летняя Катя, изучавшая психологию с 5-класса, мечтала не о принце, а о придурке. ...

Опубликован официальный перевод лицензий Creative Commons 4.0
Fri, 20 Apr 2018 18:02:54 +0300

Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
Thu, 19 Apr 2018 09:09:58 +0300

Крис Лэм переизбран на пост лидера проекта Debian
Thu, 19 Apr 2018 08:19:28 +0300

Microsoft представил IoT-платформу Azure Sphere на базе ядра Linux
Tue, 17 Apr 2018 08:22:44 +0300

Заморозка пакетной базы Debian 10 "Buster" намечена на март следующего года
Mon, 16 Apr 2018 23:57:53 +0300

Ядро Linux достигло 6 млн git-объектов, что могло бы стать хорошим поводом для выпуска 5.0
Mon, 16 Apr 2018 12:01:38 +0300

В следующем выпуске Android появится поддержка "DNS over TLS"
Sat, 14 Apr 2018 12:39:43 +0300

Организация утечки данных через линию электропередач
Thu, 12 Apr 2018 11:29:11 +0300

Результаты тестирования AV1 в Facebook. Новый формат JPEG XS
Wed, 11 Apr 2018 21:47:59 +0300

Microsoft открыл код классического файлового менеджера Windows
Mon, 09 Apr 2018 18:43:18 +0300

В Debian добавлена поддержка 64-разрядной архитектуры RISC-V
Mon, 09 Apr 2018 13:02:36 +0300

NVIDIA упразднит поддержку архитектуры Fermi
Sun, 08 Apr 2018 00:50:11 +0300

Инициатива совместного финансирования OpenNET оказалась успешной
Sat, 07 Apr 2018 13:25:55 +0300

Опубликован метод создания скрытых каналов связи в WiFi
Thu, 05 Apr 2018 19:50:29 +0300

Пояснение про сбор средств на продолжение существования проекта OpenNET
Tue, 03 Apr 2018 15:49:14 +0300

Новости OPENNET
Новости

Сервис Let's Encrypt опубликовал описание уязвимости, из-за которой сегодня утром был отключен метод проверки владения доменом TLS-SNI-01. Проблема была не на стороне Let's Encrypt и была вызвана предоставлением излишних полномочий на некоторых хостингах.

Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом.

Если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить случайный токен, сгенерировать проверочный сертификат и загрузить его для домена "токен.acme.invalid" в конфигурацию общего web-сервера. Далее в рамках процедуры проверки сервер ACME определит IP-адрес домена example.com и отправит на него HTTPS-запрос проверочного домена "токен.acme.invalid" с использованием расширения SNI. Http-сервер провайдера на данный запрос вернёт загруженный атакующим сертификат, что для ACME-сервера станет подтверждением владения доменом, хотя фактически атакующий не контролирует домен example.com.

Разработчики Let's Encrypt намерены вернуть поддержку TLS-SNI-01 как только будут абсолютно уверены в безопасности предпринятых мер защиты. Пока в качестве пути для решения проблемы называется работа с хостинг-провайдерами, у которых используются недостаточно надёжные механизмы контроля за доменами пользователей. Представители Let's Encrypt уже связались с провайдерами, у которых проявляется проблема, и согласовывают пути по устранению уязвимости. В течение 48 часов будет представлен список проблемных провайдеров и связанных с ними IP-адресов. После завершения формирования списка, поддержка TLS-SNI-01 будет возвращена для всех адресов, за исключением чёрного списка.

Напомним, что метод TLS-SNI-01 позволяет выполнить проверку через обращение к хосту по HTTPS (443 порт). Альтернативными методами проверки являются http-01 (проверка по HTTP через 80 порт) и dns-01 (проверка при помощи DNS). При использовании TLS-SNI-01 ACME-сервер генерирует случайный токен и возвращает его клиенту. Клиент ACME использует токен для создания самоподписанного сертификата, который генерируется для несуществующего домена (например, 773c7d.13445a.acme.invalid).

60.8583 75.4034 0.5669 9.6928

НОВОСТИ: Опубликован официальный перевод лицензий Creative Commons 4.0 Fri, 20 Apr 2018 18:02:54 +0300

Организация Creative Commons представила официальный перевод на русский язык набора лицензий Creative Commons 4.0, изначально выпущенного в 2013 году. Официальный перевод подготовлен после вступления в силу статьи 1286.1 Гражданского кодекса Российской Федерации, в которой введено понятие открытой лицензии на использование произведения науки, литературы или искусства. Перевод учитывает обозначенную в статье терминологию и оформлен в контексте определений открытых лицензий в российском законодательстве.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome