Apple устранила возможность HSTS-отслеживания пользователей в WebKit

Олег Иванов 21 Марта 2018 - 09:00

Домашние пользователи

...

Apple оснастила движок WebKit новыми функциями безопасности, которые призваны устранить возможность использования механизма HSTS (HTTP Strict Transport Security) для отслеживания пользователей.

HSTS представляет собой механизм, принудительно активирующий защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение вместо использования HTTP-протокола.

Однако, поскольку HSTS заставляет браузеры запоминать редирект на безопасный протокол и в будущем автоматически перенаправлять туда пользователя, может быть создан некий файл «super cookie», который поможет межсайтовым трекерам отслеживать пользователей.

Злоумышленник может использовать кеш HSTS для хранения одного бита информации на устройстве. Зарегистрировав большое количество доменов, и принудительно загрузив ресурсы из управляемого подмножества этих доменов, атакующий может добиться идентификации каждого посетителя.

Несмотря на то, что такие атаки пока носят скорее теоретический характер, Apple приняла решение устранить эту проблему для пользователей Safari. Первой мерой корпорации был пересмотр сетевого стека, чтобы он устанавливал только состояние HSTS для загруженного имени хоста.

Еще одни решением стала модификация WebKit с тем расчетом, чтобы движок игнорировал запросы обновления HSTS (и использовать исходный URL-адрес).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.