安全资讯 | SSL证书一年有效期即将再次进行投票 ;Firefox将所有HTTP页面标记为“不安全”……

发布时间:2019-08-12 10:57:18

Chrome 地址栏默认不展示 HTTPS 和WWW

从最近发布的 Chrome 69 开始,桌面版和移动版的地址栏默认不再显示 HTTPS 和 WWW。如果用户想要查看完整的网址,桌面版需要点击两次,移动版需要点击一次。Google 此举旨在简化和提高Chrome 的可用性。但 Google 此举再次招致了批评,批评者认为这会让用户迷惑或更可能访问域名相似的钓鱼网站。另一部分人则认为 Google 此举旨在推广自己的 Accelerated Mobile Pages(AMP),通过隐藏域名让用户不知道他们访问的是网页的 AMP 版本。Google 还表示它创建了一个 Chrome 扩展去展示完整域名,帮助高级用户识别可疑网站并报告给 Safe Browsing。


93%的成人网站向第三方泄露数据

据ZDNet报道,在本周发表的一篇研究论文中,学者们表示,在他们所分析的22484个成人网站中,93%的网站将数据泄露给了第三方实体,如在线广告商或网络分析提供商。

在接收端用户的色情浏览习惯和性偏好的公司名单中,谷歌、甲骨文、Facebook、CloudFlare,以及只活跃于成人行业的广告商悉数在列。

根据研究小组的调查,只有17%的顶级成人网站有隐私加密政策。

在22484个成人网站中,74%的网站上发现了与谷歌相关的脚本,其次是exclick(40%)、Oracle(24%)、Juiceyads(11%)和Facebook(10%)。

Google 发言人称:“我们不允许在包含成人内容的网站上使用 Google 广告,而是会根据用户的兴趣或相关在线活动,禁止个性化广告资料。此外,我司的广告服务标签,是绝不允许传输个人身份信息的”。

研究小组表示,“93%的页面将用户数据泄露给第三方; 79%的页面有第三方cookie(通常用于跟踪);只有17%的网站是加密的,可以被拦截。”



Firefox将所有HTTP页面标记为“不安全”

从今年10月发布的Firefox 70开始,Mozilla计划为Firefox中的所有HTTP网站显示一个永久的“不安全”指标。该于今天由Mozilla工程师正式宣布。ozilla现在遵循谷歌的步骤,自从去年发布Chrome 68以来,所有HTTP网站都显示“不安全”的标签。到目前为止,Mozilla只在包含表单或登录字段的HTTP页面上显示“不安全”指示符。80%的互联网页面都通过HTTPS提供,但是今天,Mozilla认为,由于超过80%的互联网页面现在通过HTTPS提供服务,因此用户不再需要HTTPS的正面指标,而是HTTP连接的负面指标。

1565577975916298.jpg

“在桌面Firefox 70中,我们打算在'身份块'(URL栏的左侧用于显示安全/隐私信息)中显示一个图标,该图标标记通过HTTP提供的所有站点(以及FTP和证书错误)不安全,“Firefox开发人员约翰霍夫曼说。然而,这种变化并非出乎意料。Mozilla自2017年12月开始研究它,当时它在Firefox中添加了标志:config部分。这些标志仍然存在于当前稳定版本的Firefox中,用户现在可以启用它们并预览这些指标从今年秋季开始的样子。


美国银行巨头出现严重信息泄露事件

据外媒报道,美国银行巨头“第一资本“(CapitalOne Financial Corp.)经历了一次极为严重的信息泄露事故,涉及约1亿美国人和600万加拿大人。

Capital One在7月19日被第三方通知其数据出现在代码托管网站GitHub上,它立即通知了联邦调查局(FBI)。经过调查,黑客获得了140,000个社会安全号码和80,000个银行账号。除此之外,泄露的信息还包括电话号码、电子邮件地址、出生日期、信用评分、账户余额以及一些特定时间的交易信息片段等。该银行声称账户密码、密保问题等安全信息并没有被泄露。

Capital One表示,受影响的客户主要是2005年至2019年间申请信用卡的普通客户和小企业客户,并建议担心信息被泄露的客户向银行索取他们的信用报告或申请冻结他们的信用卡账户。



SSL证书一年有效期即将再次进行投票 

在过去,证书最长有效期可以达到5年,后来改为3年,现在改为2年,随着互联网的发展和加密方式的变迁,网站在各种新型攻击下变得脆弱不堪。而在不久的将来可能会改为1年。

计划的CA / B论坛投票将在397天限制SSL证书的最长有效期。

1565578169586593.png

利害攸关的问题是安全问题。SSL / TLS证书的最长有效期可能会在不久的将来缩短。谷歌的Ryan Sleevi 将在CA / B论坛上进行投票,从2020年3月起,仅在一年时间内限制SSL/ TLS证书的最高有效期。这不是第一次提出此倡议,无疑也不是最后一次。



破坏性恶意软件攻击频率激增

据外媒报道,8月5日,IBM的X-Force IRIS事件响应团队发布了关于网络攻击的新研究。该研究表明,使用破坏性恶意软件进行攻击的网络安全事件正在快速增加。

专家表示,2019年上半年此类恶意软件的使用量比2018年下半年增加了一倍。据悉,由此类恶意软件造成的网络安全事故中有50%与制造业公司有关。石油、天然气和教育方面的组织机构也很容易遭受此类攻击。

黑客致使相关机构感染此类病毒的途径包括:接收钓鱼邮件、盗取内部网络访问凭证、水坑攻击(watering hole attacks)以及攻破关联第三方的系统防火墙。据估计,一次成功的破坏性网络攻击平均会损毁超过12000个工作站。受攻击的企业进行恢复平均需要至少512小时。在严重的情况下,恢复时间可以长达1200小时。

统计结果显示,破坏性网络攻击所造成的平均损失高达2.39亿美元。




【亚洲诚信搜集整理分享,以上信息均来自互联网】