标记为“Safari”的条目

第1页共1页

阿联酋人对SSL的中间攻击

有趣的

这些证书颁发机构是谁?在网络历史的开始,只有少数几家公司,就像Verisign一样,艾奎法克斯,然后解冻,这使得几乎垄断性的利润来自于成为唯一一个受Internet Explorer或Netscape Navigator信任的提供商。但随着时间的推移,浏览器已经信任越来越多的组织来验证网站。Safari和Firefox现在默认信任60多个独立的证书颁发机构。微软的软件信任100多家私人和政府机构。

令人不安的是,其中一些受信任的证书颁发机构决定将其权力委托给更多的组织,浏览器公司不跟踪或审核。通过在网上搜索证书,安全研究人员发现了600多个组织,通过这样的代表团,现在也被大多数浏览器自动信任,包括国土安全部,谷歌,福特汽车公司和阿联酋的一家移动电话公司,叫Etisalat。

2005年,一家名为CyberTrust的公司——从那时起被Verizon收购——给了Etisalat,阿联酋政府连接的移动公司,验证网站有效性的权利。这就是问题的原因:因为浏览器现在自动信任Etisalat来确认站点的身份,公司有潜力伪造安全连接对于任何网站,Etisalat订户都可以使用中间人计划访问。

编辑添加(9/14):eff已经卷入其中

发布于9月3日,2010年上午6:27·查看评论

正在检测浏览器历史记录

有趣的研究

主要结果:

[…]

  • 我们分析了过去几个月里超过25万人的测试结果,并且发现我们可以检测到超过76%的浏览历史。所有主要浏览器都允许检测用户的历史记录,但似乎更现代的浏览器(如Safari和Chrome)的用户受到的影响更大;我们检测到82%的Safari用户和94%的Chrome用户访问过网站。

    […]

  • 虽然我们的测试相当有限,为了测试5000个最受欢迎的网站,我们平均检测到63个访问地点(13个地点和50个子页面);中位数分别为8和17。

  • 近10%的访问者访问了30多个网站,检测到120个子页面——那些不保护自己的大量互联网用户比其他人受到的影响更大。

    […]

  • 检测访问者浏览历史记录的能力只需要几行代码。配备了一份网站清单,一个恶意的网站管理员可以在几乎每一个最近的浏览器中每秒扫描超过25000个链接(每分钟150万个链接)。

  • 在浏览器中查看的大多数网站和页面只要保存在历史记录中,就可以被检测到。几乎可以检测到浏览器地址栏中的每个地址(包括大多数页面,包括那些使用https检索到的,以及一些具有潜在私有信息的表单,例如您的zipcode或搜索查询)。当页面从您的历史记录中过期时(通常在一两个月后),将不会检测到它们,或者手动清除。

现在,解决问题的唯一方法是不断清除浏览历史记录或使用隐私浏览模式。第一个在默认安装(firefox 4.0)中阻止这种技巧的浏览器应该在10月份发布。

这里有一个链接指向

5月20日发布,2010年下午1:28·查看评论

一个月的浏览器错误

开始他的新工作浏览器有趣的博客,H.D.摩尔从“一个月的浏览器错误”开始:

这个博客将成为基于浏览器的安全研究和漏洞披露的垃圾场。为了启动这个博客,我们正在宣布浏览器漏洞月(MOBB)在那里我们将发布一个新的浏览器黑客,每一天,整个七月。我们发布的黑客被精心挑选来演示一个概念,而不公开远程代码执行的直接路径。享受!

31天,31次黑客行动之后,博客列出了针对所有主要浏览器的漏洞:

  • Internet Explorer:25个
  • Mozilla:2个
  • 游猎:2
  • 歌剧:1
  • 康克勒:1

我猜他可能已经一个月没有任何问题了,可能每天都会产生一个新的浏览器错误。

这里的道义不是说IE比其他浏览器更安全,尽管我相信。道德上讲,编码标准太差了,安全缺陷很常见。

埃里克·雷斯科拉争辩发现和修复新的安全漏洞是浪费时间,因为他们中的许多仍然存在,软件的安全性没有得到改善。我认为他有道理。(注:这并不是说修复坏人发现并公开利用的安全漏洞是浪费时间。埃里克试图回答的问题是,安全社区是否值得寻找新的安全漏洞。)

另一条评论在这里吗

8月3日发布,2006年下午1:53·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性