记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。 谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。 谷歌软件工程师瑞恩·斯利维写道: “1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。” 谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。2015年10月,谷歌也就证书颁发问题公开警告了赛门铁克。 谷歌准备对赛门铁克采取一系列行动,包括缩短新颁发证书有效期到仅9个月或更短的时间,以及取消对赛门铁克扩展
发布时间:2017-03-28 11:40 | 阅读:152234 | 评论:0 | 标签:牛闻牛评 chrome SSL/TLS 数字证书 谷歌 赛门铁克

卡巴斯基反病毒产品现漏洞 可被中间人攻击

研究者发现,基于脆弱的32位签名的证书验证机制很容易受到不同站点相同签名的碰撞影响。 卡巴斯基实验室近期更新了反病毒产品,本次更新修补了致使用户易受流量劫持的漏洞。 谷歌的漏洞研究员塔维斯·奥尔曼迪最早发现这一漏洞,该漏洞存在于卡巴斯基杀毒软件用来检测加密链接内的潜在威胁时所用的SSL/TLS流量检测功能里。 和其他终端安全产品一样,卡巴斯基会在电脑上安装一个自签名的CA根证书,并用它延伸出的“叶”证书进行拦截访问,从而对用户访问的所有https可用的站点授予证书。这允许杀毒软件对本地浏览器和远程服务器之间的链接进行加/解密操作。 奥尔曼迪发现,每当卡巴斯基的反病毒产品生成一个拦截证书时,它会基于网站提供的原始证书序列号生成一个32位的密钥并缓存这一对应关系。而这一机制使得当用户再次访问同一网站时,杀毒软件会
发布时间:2017-01-11 01:30 | 阅读:114714 | 评论:0 | 标签:威胁情报 HTTPS 中间人攻击 卡巴斯基 反病毒 密钥 数字证书 漏洞

数字证书已死:可扩展性和可信度是致命伤

数字证书颁发机构既不是权威,也不完全安全,我们需要新的东西。 身份完整性即服务(IIaS)公司Miracl首席执行官 Brian Spector 近日发文表示,数字证书存在种种弊端,以下是译文: Brian Spector 数字证书曾是互联网安全的代名词——看起来可信的企业颁发证书,核实所有的网上关系。但近几年,业界已被丑闻掏空,黑客频频获取合法代码签名的证书,绕过安全世界范围内的安全核查。 虽然有各种值得一提的业界改革尝试,比如由 Let’s Encrypt 倡导的泛在加密和透明性,但很多大问题依然遗留未决。曾经,大家都只用单一设备的时候,证书确实成功认证了服务器;但在个人设备数和使用方式都大爆炸的现在,证书却已落后于世界前进的脚步。 证书不能跨App和设备验证用户,它们与虚拟化计算不兼容,也不
发布时间:2016-09-29 19:50 | 阅读:72913 | 评论:0 | 标签:牛闻牛评 分布式信任 数字证书

这四个想法试图搞定整个互联网的安全

互联网包罗万象,从移动设备到办公电脑,到电子购物,到预定各种活动,沟通交流。很难想像离了互联网,我们将会怎样?但我们的网上生活很悲剧地被漏洞百出的安全性打败了。只要想干,黑客总能窃听到我们的交谈,冒充我们的身份,进行各种各样的恶意活动。很明显,我们需要重新思考互联网安全。对全球性通信平台进行安全和隐私控制翻新不是件容易的事,但没人会否认这么做的绝对必要性。为什么呢?是因为互联网设计不好?非也。但它设计之初确实只是给人人互信的乌托邦世界使用的。互联网雏形在只与可信团体通信的学术界流行的时候,信任关系实现不好,或者通信默认不安全并不是什么重要的事。而在数据泄露、身份盗窃和其他攻击事件到达危机水平的今天,信任关系和通信安全就不可忽视了。为应对互联网被网络罪犯充斥的挑战,我们采用了很多折衷办法的大杂烩。但这没用。我们真
发布时间:2016-05-23 22:15 | 阅读:68593 | 评论:0 | 标签:牛闻牛评 恶意软件 数字证书 网络安全

谷歌怒了,打脸赛门铁克失误数字证书

谷歌在九月份抨击安全软件巨头赛门铁克为其谷歌web域(Google.com)误发出的数字证书。9月14日,格林威治时间19点20左右,赛门铁克的Thawte证书颁发机构颁发了google.com和www.google.com域的拓展验证(EV)预备证书。但是该证书并没有获得谷歌的授权。“我们发现由证书透明日志发布的消息称,谷歌浏览器从今年1月1日开始需要EV证书。这项预备证书的发布被同时记录在谷歌和DigCert的操作日志上。”“在与赛门铁克讨论的过程中我们了解到这次事件发生在他们的内部测试过程中。”谷歌声称。在谷歌对外公布了他们的发现之后,赛门铁克开除了与此次发布未经授权的证书事件相关的员工。这次事件会引发一系列网络安全事故,因为利用虚假证书可以截获并且解密信用卡数据、浏览器插件和其他谷歌中的加密传输。“尽管
发布时间:2015-11-01 23:10 | 阅读:109517 | 评论:0 | 标签:动态 数字证书 谷歌 赛门铁克

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云