Гугль решил защититься от будущих атак на свой https-трафик; Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin; FireFox 8; Гуглеплюсное; Анонимнородительское.

#310, 24.11.2011

Гугль решил защититься от будущих атак на свой https-трафик
dl // 24.11.11 01:19
Большинство текущих реализаций HTTPS предполагает существование единственного неизменного секретного ключа, известного только владельцам домена, который уже используется для шифрования сессионных ключей. Однако история показывает, что многие решения, обеспечивающие приемлемую безопасность при своем внедрении, через некоторое время обходились за счет роста производительности вычислительной техники.

Решив подстраховаться от будущих атак на свой https-трафик, в Гугле решили перейти на схему, предусматривающую постоянную замену не только сессионных, но и секретных ключей, которые теперь не будут сохраняться в постоянной памяти (и фактически даже администратор сервера через некоторое время не сможет расшифровать старый https-трафик).

Поскольку SSL не был разработан для такого сценария использования, гуглеинженерам пришлось разработать расширение популярной библиотеки OpenSSL, которое будет интегрировано в будущую версию 1.0.1. Пока сочетание выбранной схемы передачи ключей ECDHE RSA и алгоритма шифрования RC4 128 поддерживается лишь FireFox и Chrome.
Источник: InfoWorld

Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin
dl // 16.11.11 04:06
Уязвимость эта не из тех, что приводит к проблемам безопасности, но может отразиться на поведении всей этой системы распределенной валюты. По мнению авторов исследования, период, когда биткойны добывались практически из воздуха, благополучно завершился и основным способом заработка становится честная работа по верификации чужих транзакций. При этом у пользователей оказывается все меньше стимулов производить эту обработку в распределенном стиле, а не придерживать информацию для себя - зачем отдавать эту работу какой-нибудь китайской молотилке, когда можно не торопясь сделать ее у себя. Ну а поскольку отдельные пользователи проводят эту верификацию заведомо медленней, чем если бы они не жадничали, это начнет постепенно приводить к замедлению системы вплоть до малопригодности.

Исследователи предложили модифицированный способ вознаграждения, который будет стимулировать пользователей делиться транзакциями. Впрочем, один из разработчиков, работающих над Bitcoin, заявил, что исследование описывает очень интересную, но сугубо теоретическую проблему, с которой вряд ли придется иметь дело в ближайшем будущем.
Источник: Slashdot

FireFox 8
dl // 09.11.11 02:33
Очередная итерация FireFox, в былые времена, пожалуй, не потянувшая бы на смену даже первой цифры после точки. Включение в стартовый набор поиска по твиттеру; галочка, позволяющая отложить при запуске загрузку сайтов из сохраненных табов до того момента, когда они реально понадобятся; запрет по умолчанию расширений, устанавливаемых сторонним софтом (отдельный привет разным антивирусам, втыкающим свои расширения куда только можно).
Источник: The Mozilla Blog

Гуглеплюсное
dl // 08.11.11 18:07
Не прошло и полугода как Гугль запустил регистрацию страниц, не привязанных к личным аккаунтам, так что багтраковская трансляция в G+ переезжает на новый адрес: http://gplus.to/bugtrack.

Прочие доступные трансляции: Facebook, Twitter, ВКонтакте, LiveJournal, исходный RSS.
Источник: Google+

Анонимнородительское
dl // 31.10.11 13:06
Тут на днях мне сообщили (за что отдельное спасибо) прелюбопытнейший факт - оказывается, родительский контроль KIS 2012 стал блокировать bugtraq.ru, занеся его в категорию анонимных прокси.

Ситуация восхитительна по целому ряду причин. Во-первых, довольно забавно выглядит вообще вся эта категория, существование которой оправдывается в рекламе тем, что анонимные прокси часто используются для атак злобных хакеров. Лично мне совершенно непонятно, каким образом блокировка обращения к анонимному прокси в браузере способна повлиять на безопасность пользователя этого самого браузера - ну да ладно, с натяжкой можно согласиться,что эта мера может помочь в выявлении троянской активности, хотя и тогда место ей не в родительском контроле.

Но тут настает время во-вторых - ну вот нет тут у меня анонимного прокси, хоть ты режь. Специально просканировал популярные среди прокси порты (мало ли, вдруг успели заломать, воткнуть прокси, и об это узнал только KIS) - и ничего. Разумеется, верить мне на слово необязательно, так что не имею ничего против любой проверки. Плюс тут есть еще один милый момент - судя по присланному скриншоту, заблокирован оказался и раздающий RSS домен feeds.bugtraq.ru, который, так на минуточку, вообще расположен на гугле, поскольку является алиасом для feedburner'а.

В-третьих, конечно, было бы лукавством утверждать, что на bugtraq вообще нет ничего, относящегося к анонимным прокси. Как показывает поиск, у нас были и упоминавшие их статьи, и обсуждения на форуме. Но даже на форуме их обсуждение сводилось в основном к стону о том, что где ж сейчас найти рабочий прокси, да и в статьях дело не доходило даже для ссылок.

Таким образом, есть полное ощущение, что эти несколько упоминаний стали единственным основанием для попадания в фильтр. Что как бы намекает на качество подобной фильтрации.

Больше всего в этой схеме напрягает вахтерская недружественность по отношению к ресурсам. Разумеется, владелец сайта никак не извещается о занесении в черный список, не барское это дело. Более того, не имея KIS (а светлое будущее из маркетинговых мечтаний, в котором KIS установлена на каждую систему, по счастью, еще не наступило), в принципе невозможно узнать, фильтруется ли ресурс и по каким причинам, и как-то отреагировать (форма для проверки, диагностика, возможность отзыва - опять же не барское дело).

Не могу сказать, чтобы заметил хоть какое-то влияние этой фильтрации на посещаемость (то ли аудитории слабо пересекаются, то ли такая вот у нее популярность), но кто ж его знает, куда еще дотянутся шаловливые ручки старших братцев из родительского контроля. Так что у меня будет просьба к счастливым владельцам KIS, вдруг наткнувшимся на этот текст в рассылке либо где-то еще - если будет время, гляньте как-нибудь, живет ли еще эта фильтрация, и не сочтите за труд сбросить описание случившегося в форму техподдержки.