Objavljeno

Do 30. junija imate čas za izklop TLS 1.0

Onemogočite TLS 1.0

Imate spletno trgovino? Ali sprejemate spletna plačila? Vas skrbi, da boste kaznovani? Če je odgovor na vsa tri vprašanja “da”, morate takoj onemogočiti TLS 1.0. Časa za razmišljanje imate le še nekaj dni!

Payment Card Industry Security Standards Council (PCI SSC) je neodvisen organ ki so ga leta 2006 ustanovili American Express, Discover Financial Services, JCB International, MasterCard in Visa Inc. Organ je bil ustanovljen za zaščito podatkov na kartici. Določili so dvanajst osnovnih zahtev za vse prodajalce, ki sprejemajo spletno plačevanje. Medtem ko te zahteve niso del nobenega zakona, so jih podjetja za plačilne kartice dala kot obvezna za trgovce, ki sprejemajo plačila s karticami. Če trgovec ni skladen, se lahko soočijo z mesečnimi denarnimi kaznimi do 100.000 dolarjev.

PCI DSS v3.1, objavljen aprila 2015, je imel rok za selitev iz SSL in zgodnjega TLS na novejše, varnejše različice do junija 2016. Tukaj “selitev iz SSL in zgodnjega TLS” pomeni onemogočanje podpore za starejše različice SSL in TLS. Sčasoma je bil ta rok podaljšan za dve leti, 30. junija 2018 pa je določen kot nov rok.

Preberi več > Do 30. junija imate čas za izklop TLS 1.0

Objavljeno

Prihajajo negativni varnostni kazalci

Pripravite se, prihajajo negativni kazalniki SSL

26. julija bo Google Chrome, najbolj priljubljen brskalnik na svetu, označil vsako spletno stran, ki nima nameščenega SSL certifikata. Nekateri vidijo to potezo kot googlov zadnji met kocke proti HTTP. V nasprotju s tem prepričanjem pa se bo začela nova igra – ta igra bo izkoreninila vse pozitivne varnostne indikatorje (npr. besedo “Varno” in ikono ključavnice) in namesto tega bo uvedla negativne varnostne kazalnike.

Zakaj Google to počne?

Google je v letu 2014 objavil svojo akcijo šifriranja celotnega spleta. Od takrat je HTTPS dosegel neverjetno širino. HTTPS je tako razširjen, da Google verjame, da bi moral HTTPS biti privzet in da morajo biti mesta, ki niso zaščitena s HTTPS, posebej označena.

Da poenostavimo, spletna mesta bi potrebovala nekaj spodbude, da bi se uporaba HTTPS širila. Sedaj pa, ko HTTPS postaja standard, Google ne potrebuje takšnih spodbud v obliki pozitivnih kazalnikov, temveč se zdaj obrača na negativne varnostne kazalnike.

Če smo iskreni, Google dela prav. Pozitivni indikatorji “Varno” pogosto zavajajo uporabnika, saj le-ta misli, da je stran varna, v resnici pa je samo šifrirana. To še posebej velja v primeru potrdila DV SSL in njegovih vizualnih kazalnikov. DV SSL kazalniki so premočni in pogosto glavna sestavina uspešne lažne predstavitve (t.i. phishing strani).

Sedaj, ko so SSL certifikati tudi brezplačni in jih je enostavno namestiti, jih veliko izrablja za prevaro uporabnikov z lažnim predstavljanjem. 

To bi se lahko omejilo na dva načina: s širjenjem ozaveščenosti ali z odpravljanjem zavajajočih pozitivnih kazalnikov z nadomestitvijo z negativnimi varnostnimi kazalci. Težko bi bilo vse naučiti vse o URL-jih, SSL-ju, šifriranju in lažnem predstavljanju. Tako je Google izbral drugo možnost.

Preberi več > Prihajajo negativni varnostni kazalci

Objavljeno

Vesel GDPR dan. Google in Facebook sta prejela za 8,8 milijard dolarjev tožb

Prvi dan uveljavitve zakona o GDPR avstrijski zasebniki za zasebnost tožili Google in Facebook.

Max Schrems, avstrijski aktivist za zasebnost, je že dolgo čakal na ta dan. Google je tožil za 3,7 milijard evrov, Facebook pa za 3,9 milijard. Tožbe so razčlenjene, da ciljajo na določene izdelke, kot so Instagram, WhatsApp in Android OS.

Shrems je družbi Financial Times že povedal, da “v celoti vedo, da bo to kršitev … Tega niti ne skušajo skriti.”

Google in Facebook se s tem ne strinjata. Pri Googlu pravijo, da so zgradili zasebnost in varnost že v najzgodnejših fazah in se zavzemajo za uskladitev z EU GDRP.  Pri Facebook-u pa navajajo, da so se preteklih 18 mesecev pripravljali na GDRP in se uskladili z le-tem. 

Preberi več > Vesel GDPR dan. Google in Facebook sta prejela za 8,8 milijard dolarjev tožb

Objavljeno

465.000 srčnih spodbujevalnikov potrebuje posodobitev vdelane programske opreme

Ranljive enote so uporabljale 24-bitno avtentifikacijo RSA in tri-byte kodo za upravljanje

Ameriška uprava za živila in zdravila (FDA) je konec aprila odobrila posodobitev vdelane programske opreme za srčne spodbujevalnike, ki jih je izdelal Abbott (prej St. Jude’s Medical), in zdaj vztraja pri posodobitvi te vdelane programske opreme.

Preberi več > 465.000 srčnih spodbujevalnikov potrebuje posodobitev vdelane programske opreme

Objavljeno

Novi standard WebAuthn bo poskušal odpraviti gesla

Združenje FIDO in W3C si prizadevata za močnejši dokaz avtentičnosti, da bi zaščitili splet

Gesla so zanič. Zdi se, da pri geslih ni veliko soglasja o najboljših praksah. Naj jih bo težko uganiti, uporabite dolge nize naključnih znakov, nikoli ne uporabljajte istih gesel, … Gesla so težavna, vendar so življenjsko dejstvo, ko gre za računalnike in internet.

To se bo mogoče končalo.

Preberi več > Novi standard WebAuthn bo poskušal odpraviti gesla