В Chrome 63 появятся средства информирования о попытках перехвата HTTPS

Александр Панасенко 11 Сентября 2017 - 07:16

...

В Chrome 63 появятся средства информирования о попытках перехвата HTTPS

В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси.

В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений для разных сайтов за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное, пишет opennet.ru.

Основное отличие от предупреждения о небезопасном соединении заключается в том, что пользователь информируется о возможной локальной MITM-атаке, которая не связана с проблемами настройки HTTPS на конкретном внешнем сайте. Метод уже доступен для тестирования в Chrome Canary и активируется при запуске браузера с параметром "--enable-features=MITMSoftwareInterstitial".

Предупреждение не коснётся техники незаметной подмены HTTPS-сертификатов, которые практикуются некоторым антивирусным ПО, корпоративными межсетевыми экранами и системами инспектирования трафика. Подобное ПО перехватывает HTTPS-обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках отдельного HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 25 Апреля 2024 - 09:41

Домашние пользователи Системы аутентификации Токены и устройства аутентификации Биометрические системы аутентификации Парольная защита (пароли)Средства генерации одноразовых паролей (OTP)

WhatsApp запустил беспарольный доступ (passkey) на iPhone

Разработчики WhatsApp запустили поддержку ключей доступа на iPhone по всему миру. Теперь верификацию можно проходить без необходимости отправки и ввода одноразовых кодов из СМС-сообщений.

Полгода назад WhatsApp уже ввёл беспарольный доступ для пользователей Android, предоставив им возможность попрощаться с двухфакторной аутентификацией по СМС.

Теперь любители «яблочной» iOS тоже могут воспользоваться passkey: при включении соответствующей опции входить в учётку WhatsApp можно через сканирование лица или ПИН-кода, сохранённого в «родном» менеджере ключей на iPhone.

Считается, что технология ключей доступа способна ощутимо затруднить жизнь злоумышленникам, пытающимся удалённо получить доступ к вашей учётной записи.

Параллельно passkey избавляет пользователей от необходимости постоянно вводить логины и пароли (которые ещё могут и попасть в руки киберпреступников). В случае с passkey злоумышленнику потребуется физический доступ к девайсу, чтобы войти в аккаунт WhatsApp.

Активировать ключи доступа можно в настройках мессенджера в разделе «Аккаунт».