Slo-Tech - Ta mesec bo začel Google ukinjati podporo za razširitve Manifest V2 v svojem brskalniku, o čemer smo obširno pisali lani. Kljub ugovorom razvijalcev in uporabnikov je že dlje časa jasno, da se bo Manifest V2 poslovil v korist naslednika Manifesta V3. Odmikal se je le datum, a tudi tega je sedaj konec.

Uporabniki najnovejših verzij brskalnika, ki sodelujejo v programih Beta, Dev in Canary, bodo že v naslednjih dneh dobili obvestila, da se podpora za Manifest v2 izteka. Najbolj prizadeti so seveda vtičniki, ki blokirajo oglase. Ti imajo v režimu Manifest v2 popoln nadzor nad nalaganjem strani in lahko počnejo karkoli želijo, torej tudi blokirajo vse. Pod Manifestom v3 pa bo to drugače, saj bodo brskalniku lahko le predlagali, kaj naj stori pri izrisu. Z vidika preprečevanja napadov MITM je to pozitivno, medtem ko bo blokiranje oglasov sedaj manj učinkovito oziroma predvsem prepuščeno na milost in nemilost Googlu. Ta ob tem poudarja, da ima novi API chrome.declarativeNetRequest več...

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

Network World - Nizozemsko podjetje DigiNotar, ki se ukvarja z izdajanjem certifikatov SSL ter je prejšnji mesec postalo svetovno znano zaradi vdora in izdaje več kot petsto lažnih certifikatov, bo prenehalo poslovati. Kmalu po javnem razkritju vdora, ki se je zgodil že junija, podjetje pa je od julija do konca avgusta o njem molčalo, se je začelo zgražanje javnosti nad početjem podjetja. Nizozemska vlada je prenehala sodelovati s podjetjem, ki je bilo do tedaj glavni CA zanje, vse DigiNotarjeve certifikate so brskalniki odstranili s seznamov zaupanja vrednih certifikatov, od podjetja pa se je distanciral tudi večinski lastnik...

The H - Po seriji alarmantnih vdorov v korenske overitelje (root CA) Comodo, DigiNotar in potencialno še v GlobalSign, imajo ponudniki brskalnikov počasi dovolj "popravljanja za nazaj" z brisanjem spornih certifikatov iz svoje baze zaupanja vrednih overiteljev. Med samim vdorom in izbrisom lahko namreč mine kar nekaj časa in ves ta čas so uporabniki potencialno izpostavljeni vdoru ali nadzoru v njihove priljubljene servise. To pa uničuje zaupanje, ki je nujno za delovanje internetne ekonomije in ki so ga dolga leta le počasi vzpostavljali.

Mozilla je zdaj poslala nujni poziv vsem overiteljem, ki so vključeni v njihovo bazo (okoli 50). Poziv jih prosi, da takoj izvedejo obsežno varnostno...

threatpost - Ta teden je overitelj digitalnih potrdil (CA) GlobalSign začasno prenehal izdajati certifikate, ker so imeli razloge, da verjamejo navedbam napadalca CA-ja DigiNotar, da je kompromitirana tudi infrastruktura GlobalSigna. Gre za hekerja z vzdevkom Comodohacker, ki je pridobil dostop tudi Comodoja v začetku leta. Sedaj se je izkazalo, da je bila kompromitirana zgolj spletna stran GlobalSigna, medtem ko CA ni bil.

Preiskava, ki jo za GlobalSign vodi Fox-IT, še ni končana, a takšni so preliminarni izsledki, saj niso našli nobenih dokazov o vdoru v CA. Vdor je bil izoliran na spletni strežnik www.globalsign.com, čeprav je Comodohacker trdil drugače, in sicer da ima dostop do celotnega strežnika, varnostnih kopij podatkovnih baz in celo privatni ključ za njihovo domeno. Zato bo GlobalSign že jutri začel obnavljati nekatere svoje overiteljske storitve, tekom tedna pa naj bi začeli z...

BBC - Zgodba o zaupanja vrednih overiteljih digitalnih potrdil (CA), ki so to zaupanje zaradi vdorov in nezavednega izdajanja ponarejenih certifikatov izgubili, dobiva nove razsežnosti. Že več kot teden dni je na tapeti nizozemski registrar DigiNotar, ki so ga napadli neznani hekerji (najverjetneje Iranci) in ga izkoristili za izdajo lažnih certifikatov. Sprva je bil odkrit le Googlov, kasneje pa se je število povzpelo na vsaj 531. DigiNotar je seveda izgubil vso kredibilnost in mesto v seznamu...

The H -

No anti-virus, a single Windows domain for many CA servers, an easily brute-forced password and a tempest proof server room accessible from the management LAN: DigiNotar's security was full of holes.

Nizozemska vlada je pripravila vmesno poročilo z naslovom Črni tulipan (pdf) o varnostni situciji pri njihovi 'črni ovčki'; SSL overitelju DigiNotar. Kot smo že poročali v zadnjih dneh, so vanj enkrat poleti vdrli nepridipravi in si izdali ponarejene, a povsem legitimno izgledajoče certifikate za več deset domen visoke vrednosti, npr. za Google Mail ali določene varnostne službe. S temi certifikati je mogoče izvajati man-in-the-middle napade na lokalnih omrežjih ali - v skrajnem primeru - celo na posamezni državi.

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik. Nad tem naj bi bdel IDS (intrusion detection system), ki je sicer tekel, a naj ne bi bil ustrezno konfiguriran. Zatem so uspeli uganiti administratorsko geslo za Windows domeno, ki naj bi bilo pretirano...

Heise - Napad na nizozemskega overitelja digitalnih potrdil DigiNotar je obširnejši in resnejši, kot je kazalo na začetku. Sprva se je odkril le lažni certifikat za Googlove strežnike, kasneje je bilo potrjenih več deset, sedaj pa se je število odkritih lažnih certifikatov povzpelo na 532.

Nizozemska vlada je skrbnikom omrežja Tor (uporablja se za anonimni dostop do interneta) izročila seznam vseh lažnih certifikatov, ki so bili izdani in podpisani v DigiNotarjevem imenu (Excelova datoteka s...

PC World - Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.

DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj...

Slashdot - Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.

Na Mozillinih straneh so...

Overclockers Australia - V svojih novicah sem obdelal že toliko različnih prikazovalnikov temperature (od Senfu Thermal Proba, preko njegovih variacij, do AUSU I-Panela), pozabil pa sem na DigiDoca, vendar povsem po krivici, saj nudi nekaj zelo dobrih rešitev. Kot prvo naj povem, da DigiDoc 5 ni samo navaden LCD zaslonček, ki preko temperaturne sonde prikazuje temperaturo, ampak precej bolj zajeten kos hardvera, ki zasede celo 5.25" odprtino v ohišju. DigiDoc 5 je v primerjavi z drugimi prikazovalci precej bolj vsestranski, saj prikazuje temperaturo, omogoča vstavitev diska v 5.25" odprtino, ki jo zasede in nadzoruje do 8 ventilatorjev. Poleg vsega zgoraj naštetega, pa ima DigiDoc 5 tudi lep videz, ki bo vsekakor naredil vtis na modifikatorje. Po vsem tem lahko sklepamo, da gre za odlično večnamensko napravo, katere edina težava je, da je ne dobimo v Sloveniji. Šmrk.