Google Chrome 前陣子宣佈了要淘汰透過 HTTP 下載檔案的計畫:「Protecting users from insecure downloads in Google Chrome」。
分成不同檔案類型的下載,可以看到不同類型檔案會在不同時間點被阻擋:
所以到時候 IE 的功能又多了一個?
幹壞事是進步最大的原動力
Google Chrome 前陣子宣佈了要淘汰透過 HTTP 下載檔案的計畫:「Protecting users from insecure downloads in Google Chrome」。
分成不同檔案類型的下載,可以看到不同類型檔案會在不同時間點被阻擋:
所以到時候 IE 的功能又多了一個?
Google 在 stable channel 發布了 Google Chrome 68,這是 Chrome 第一個將所有 HTTP 站台都標成 insecure 的版本:「Stable Channel Update for Desktop」。取自二月時的圖:
文章內也說明了這個改變:
In Chrome 68, Chrome will show the “Not secure” warning on all HTTP pages. We announced this in a blog post published on February 8th on Google’s Chromium and Online Security blogs.
雖然之前 Google 一直在推動,但應該還是很多單位沒在管...
預定今年七月推出的 Google Chrome 68 將會無條件將 HTTP 網站標為不安全:「A secure web is here to stay」。
從紐約時報看到今年的 Turing Award 由 Whitfield Diffie 與 Martin E. Hellman 獲得:「Cryptography Pioneers Win Turing Award」。在 Turing Award 官網上也可以看到對應的說明。
Diffie–Hellman key exchange 是全世界第一個 (1976 年) 在公開頻道上建立 shared secret 的演算法,直到現在都還廣泛的被使用,可以防禦被動式的監聽攻擊:
The Diffie–Hellman key exchange method allows two parties that have no prior knowledge of each other to jointly establish a shared secret key over an insecure channel.
現在這個演算法用在 PFS (Perfect forward secrecy),或稱為 FS (Forward secrecy),確保 public key 被破解前的連線記錄不會輕易被破解,於是更確保了資料的安全性:
a secure communication protocol is said to have forward secrecy if compromise of long-term keys does not compromise past session keys.
後來這個演算法也被延用到 Elliptic curve 上,也就是 ECDH,因為不使用 或 (field) 而是使用 Elliptic curve (group),而大幅降低了可被拿來攻擊的特性,而使得 key 的長度可以比 RSA 小很多。
上一個因密碼學拿到 Turing Award 的是 2012 年得獎的 Silvio Micali 與 Shafi Goldwasser,他們所音發展出來的用以對密碼系統驗證的數學方法而得獎。
而更有名的應該是 2002 年 Ronald L. Rivest、Adi Shamir、Leonard M. Adleman 因為 RSA 演算法而得獎的事情。
在愈來愈多新聞揭露安全與隱私問題後 (尤其是政府對人民的監控),密碼學愈來愈被重視。之前在密碼學領域做出重大貢獻的人也陸陸續續得獎...
Firefox 46 的開發版本將會對非 HTTPS 頁面加上警示:「Login Forms over HTTPS, Please」。
技術上來說,是當偵測到頁面上有 input type="password"
的元素時會加上不安全的 icon:
When a page with a password field is not delivered securely, Firefox displays a lock with a red strikethrough in the address bar[.]
不過看起來是在試水溫,沒有打算在正式版本開起來:
There are no current plans to show these warnings to users of Beta and general release Firefox.
這樣就有點可惜了...
Jerry Qu 寫的「关于启用 HTTPS 的一些经验分享」這篇文章講了要怎麼將 HTTP 站台逐步換成 HTTPS 站台的方式 (以及工具)。
一開始會遇到 Mixed Content,瀏覽器預設值不會直接全部擋掉,而是會放行圖片類資源 (但是出現對應的警告)。然後可以用 upgrade-insecure-requests 來幫助邊換,讓 url 裡指定 http 的自動連到 https。
當全站把 url 都修完後,接著就可以考慮用 HSTS 強制全上 HTTPS。
做到這邊的安全性已經到一定程度了,接下來要不要進 HSTS Preload List 就看大家自己的想法了。
依照 Netcraft 的說明,還有超過 20% 的網站使用 SHA-1 certificate:「One million SSL certificates still using “insecure” SHA-1 algorithm」。
雖然轉換速度算是很快了,不過本來依照進度,2015 年底瀏覽器就應該要把 SHA-1 certificate 認為不安全 (於是失效):
照目前速度,今年年底應該只能掉到 10% 左右吧...
在「Google Proposes Marking ‘HTTP’ as Insecure in 2015」這邊看到 Google 提議將 Chrome 對 HTTP 連線標示成「不安全」:「Marking HTTP As Non-Secure」。
其中一個提案是設定三個時間 (T1、T2、T3),逐步改變對 HTTP 的標示:
T0 (now): Non-secure origins unmarked
T1: Non-secure origins marked as Dubious
T2: Non-secure origins marked as Non-secure
T3: Secure origins unmarked
不過這是好提案嗎?CA 機制並不完美,這樣硬推是對的方向嗎?
從「Website Peeps Into 73,000 Unsecured Security Cameras Via Default Passwords」看到的,有人掃過一輪後,把大約七萬多個攝影機的資料做成網站:「Online IP netsurveillance cameras of the world」。
隨便找一個台灣的:「73454」,網站速度不快,但看起來超歡樂的...
Daniel J. Bernstein (djb) 在巴西 H2HC 11 的的演講投影片:「Making sure crypto stays insecure」(PDF)。
對政府單位來說,並不樂見有安全的密碼系統。因為安全的密碼系統對於政府監控人民是個麻煩。
如果十年前拿出來講,可能大多數人會覺得投影片裡面的內容太過於「被害妄想」,但經過 Edward Snowden 的努力後,被證實政府完全站在人民的反面。
在演算法裡面藏後門 (經典的 Dual_EC_DRBG);干擾標準的制定,讓實做變得複雜,於是就會變得難以正確實做;在標準裡面故意低估安全威脅 (尤其是 timing attack 類);放出過時消息宣稱加密的成本很高 (指時間成本)。
這種種事情的透漏,甚至讓小說作者 cancel 掉小說的續集 (第三集),因為他發現他要寫的故事內容 NSA 都已經做過了:「Sci-fi Author Charles Stross Cancels Trilogy: the NSA Is Already Doing It」。
很精彩的投影片,對資安有興趣的人都應該看一看。