Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS. Ресурсы: LaTeX - DNSSEC: проверка, внедрение
Lenovo и подмен сертификатов в HTTPS
Очередная история, отлично иллюстрирующая положение дел с безопасностью пользователей Сети: Lenovo исталлировали на ноутбуки дополнительное ПО Superfish (какое говорящее название!), которое подменяло серверные сертификаты веб-сайтов. Для чего подменяло? Конечно же для того, чтобы подставлять рекламу. Вот так.
Addon: поясню технические моменты – к сожалению, со стороны веб-сервера сделать здесь практически ничего нельзя; ни привязка ключей (Certificate Key Pinning), ни какой-нибудь DANE, ни другие методы (за исключением особо экзотических) – не помогают в случае, если вредоносное ПО установлено непосредственно внутри браузера и операционной системы. TLS помогает от атак на пути между сервером и клиентским компьютером, но не более того. Сходная проблема, кстати, существует и для антивирусных программ, подменяющих сертификаты и перехватывающих TLS непосредственно на пользовательском компьютере.
()
Похожие записки:
- Подделка сигнала GPS (GPS-спуфинг)
- Самоуправляемые автомобили: "злоупотребление" протоколами
- Влияние постквантовой криптографии на реальность
- Ссылка: европейский аппарат "Скиапарелли"
- Смартфоны с разнообразными датчиками и скрытая передача данных
- Помехи GPS
- Квантовый компьютер и криптоанализ симметричных шифров
- Реплика: "давность" в разрезе защиты информации GPS
- TLS 1.3 на подходе
- Кванты, квантовая криптография с компьютерами
- Доступ к "биллингу" операторов связи и "обезличенные данные"
- Сеть Биткойн, блокчейн и квантовые компьютеры
- Прикладная криптография для Arduino: шифр Speck, сравнение с шифром "Магма"
- Смартфон, скрытно прослушивающий разговоры
- Библиотека шифрования для Arduino (ГОСТ Р 34.12-2015)
- "Умные" пистолеты
- Ссылка: копирование памяти iPhone (NAND mirroring)
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1. 19th February 2015, 14:25 // Читатель Дмитрий Белявский написал:
Pinning и Certificate transparency таки должно заловить, если malware не встроено в сам браузер.
2. 19th February 2015, 18:34 // Александр Венедюхин ответил:
Собственно, там, вроде, и есть браузерный плагин – этот Superfish.
3. 20th February 2015, 17:32 // Читатель jno написал:
отсюда мораль: самопоставленный браузер + жестокая блокировка рекламы всеми способами…