Apple устранила возможность HSTS-отслеживания пользователей в WebKit

Apple устранила возможность HSTS-отслеживания пользователей в WebKit

Apple устранила возможность HSTS-отслеживания пользователей в WebKit

Apple оснастила движок WebKit новыми функциями безопасности, которые призваны устранить возможность использования механизма HSTS (HTTP Strict Transport Security) для отслеживания пользователей.

HSTS представляет собой механизм, принудительно активирующий защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение вместо использования HTTP-протокола.

Однако, поскольку HSTS заставляет браузеры запоминать редирект на безопасный протокол и в будущем автоматически перенаправлять туда пользователя, может быть создан некий файл «super cookie», который поможет межсайтовым трекерам отслеживать пользователей.

Злоумышленник может использовать кеш HSTS для хранения одного бита информации на устройстве. Зарегистрировав большое количество доменов, и принудительно загрузив ресурсы из управляемого подмножества этих доменов, атакующий может добиться идентификации каждого посетителя.

Несмотря на то, что такие атаки пока носят скорее теоретический характер, Apple приняла решение устранить эту проблему для пользователей Safari. Первой мерой корпорации был пересмотр сетевого стека, чтобы он устанавливал только состояние HSTS для загруженного имени хоста.

Еще одни решением стала модификация WebKit с тем расчетом, чтобы движок игнорировал запросы обновления HSTS (и использовать исходный URL-адрес).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies запустила бесплатный ресурс с данными об уязвимостях

Компания Positive Technologies открыла бесплатный портал, на котором собрана информация более чем о 300 тысячах уязвимостей в программном обеспечении и оборудовании. База обновляется регулярно и может пригодиться специалистам по кибербезопасности, разработчикам и ИБ-отделам компаний — в ней есть как описания уязвимостей, так и рекомендации по их устранению.

Инициатива появилась на фоне проблем с доступностью данных в международных базах — таких как National Vulnerability Database (NVD) и CVE.

В последнее время они обновляются с задержками, а также сталкиваются с сокращением финансирования, что сказывается на своевременности публикации новых уязвимостей. Это, в свою очередь, даёт злоумышленникам дополнительное время для использования уязвимостей до их устранения.

Портал агрегирует данные из разных источников, включая CVE, NVD, соцсети и мессенджеры. Описание каждой уязвимости формируется на основе этой информации — по словам разработчиков платформы, оно должно быть более подробным, чем в существующих базах. Кроме технической информации, на портале указаны авторы уязвимостей, если их удалось установить.

Отдельно выделяются уязвимости, которые активно обсуждаются в профессиональном сообществе. Это позволяет отслеживать те проблемы, которые находятся в фокусе внимания ИБ-специалистов прямо сейчас.

Сейчас в базе — свыше 300 тысяч уязвимостей и около 45 тысяч исследователей. По данным компании, каждую неделю добавляется примерно тысяча новых записей. Портал уже работает и доступен всем желающим без регистрации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru