Парадокс Шекспира

Все влюбленные клянутся исполнить больше, чем могут, но не исполняют даже возможного.

Мальчик приходит из детского сада весь исцарапанный. Папа спрашивает: ...

Google, Microsoft, Twitter и Facebook основали проект по обеспечению переносимости данных
Fri, 20 Jul 2018 20:44:55 +0300

Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
Fri, 20 Jul 2018 09:23:16 +0300

В Google ведётся обсуждение возможной замены Android на ОС Fuchsia
Thu, 19 Jul 2018 23:45:05 +0300

В ночные сборки Firefox добавлен WebRender, использующий GPU для отрисовки web-страниц
Thu, 19 Jul 2018 20:50:32 +0300

Евросоюз оштрафовал Google на 4.3 млрд евро за навязывание своих сервисов в Android
Wed, 18 Jul 2018 20:47:49 +0300

В компилятор LDC языка D добавлена поддержка WebAssembly
Wed, 18 Jul 2018 10:36:25 +0300

Slackware Linux исполнилось 25 лет
Tue, 17 Jul 2018 08:16:55 +0300

Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Mon, 16 Jul 2018 22:05:36 +0300

Оценка безопасности новой системы контейнерной изоляции Nabla
Mon, 16 Jul 2018 10:58:41 +0300

Гвидо ван Россум решил отстраниться от руководства проектом Python
Thu, 12 Jul 2018 20:23:38 +0300

Debian вошёл в консультативный cовет проекта KDE
Thu, 12 Jul 2018 12:43:41 +0300

Для Thunderbird и SeaMonkey введён в строй отдельный каталог дополнений
Tue, 10 Jul 2018 22:22:36 +0300

Airbus и IBM подготовили интеллектуальный помощник для МКС, работающий под управлением Ubuntu
Tue, 10 Jul 2018 11:33:35 +0300

Концепт камеры для печати фотографии в виде комиксов
Mon, 09 Jul 2018 09:58:50 +0300

DirectX Shader Compiler портирован для Linux и macOS
Tue, 03 Jul 2018 20:58:59 +0300

Новости OPENNET
Новости

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) выступила с новой инициативой STARTTLS Everywhere, нацеленной на повсеместное использование шифрования трафика почтовых серверов. В рамках инициативы предложен сервис, который позволяет проверить произвольный почтовый сервер на предмет поддержки команды STARTTLS, использования надёжных алгоритмов шифрования и применения заслуживающих доверия сертификатов. В случае выявления проблем выдаются рекомендации по их устранению и корректной настройке.

STARTTLS Everywhere дополняет уже много лет существующий проект HTTPS Everywhere, в рамках которого развиваются дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. В настоящее время благодаря появлению таких сервисов, как Let's Encrypt, удалось устранить преграды при получении сертификатов и для Web использование шифрованного доступа становится нормой. При помощи STARTTLS Everywhere энтузиасты намерены стимулировать повсеместный переход на корректное шифрование коммуникаций и для трафика почтовых серверов.

Несмотря на то, что доля почтовых серверов с поддержкой STARTTLS достаточно велика (по данным Google 89% сеансов устанавливаются с шифрованием), остаётся нерешённой существенная проблема - большинство почтовых серверов, поддерживающих STARTTLS, не выполняет проверку сертификатов при установке сеанса. Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

Образовался замкнутый круг - с одной стороны администраторы почтовых серверов не спешат использовать полноценные сертификаты для STARTTLS, так как их никто не проверяет, а с другой стороны проверку сертификатов невозможно включить, так как на половине серверов используются самодельные сертификаты. Отсутствие верификации сертификатов делает шифрование номинальным и лишь создаёт иллюзию повышения защиты, так как при наличии контроля над любым транзитным узлом в сети остаётся возможность проведения MITM-атаки с подменой сертификата, в рамках которой можно перехватить и модифицировать трафик.

В случае выявления проблем при проверке сертификатов STARTTLS Everywhere предлагает администраторам почтовых серверов готовый скрипт (плагин к certbot для MTA, пока только для Postfix), запустив который на сервере можно бесплатно получить сертификат Let’s Encrypt для используемых доменов и сгенерировать готовый блок конфигурации. При проверке учитываются такие факторы как отсутствие возможности использования ненадёжных протоколов SSLv2/v3, соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена, истечение времени жизни сертификата и связь сертификата цепочкой доверия с корректным корневым сертификатом, присутствующим в списке корневых сертификатов Mozilla (можно найти в Debian-пакете ca-certificates).

Кроме того, с целью выявления атак по модификации запросов с откатом на установку сеансов без шифрования, в рамках проекта STARTTLS Everywhere также началось ведение списка почтовых серверов, к которым допустимо обращение с использованием шифрования с корректным сертификатом. Если в процессе взаимодействия с почтовым сервером, который упомянут в списке, зафиксирован отказ установить сеанс STARTTLS или использован сомнительный сертификат, то можно сделать вывод о попытке компрометации сервера.

63.4888 73.9327 0.5645 9.3656

НОВОСТИ: Уязвимости в системе печати CUPS Tue, 17 Jul 2018 09:03:37 +0300

В системе печати CUPS выявлено несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian и Ubuntu, но проблема не затрагивает дистрибутивы на базе RHEL).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome