نوشته‌شده در

احراز هویت خودکار در مرورگر دسکتاپ با WebAuthn

آیا این جریان نیز می تواند بر روی یک مرورگر دسکتاپ بدون هیچگونه سخت افزار اضافی اجرا شود؟ آیا اصلاح کننده پیش فرض در مرورگرهایی که می تواند برای آن مورد استفاده قرار گیرد اجرا شود؟

کروم و احتمالا اکثر مرورگرها می توانند یک جفت کلید عمومی خصوصی ایجاد کنند و از آن برای احراز هویت استفاده کنند. با این حال، امنیت این کلید بدون محافظت توسط سخت افزار اختصاصی مانند در مورد گوشی در بهترین حالت بسیار مشکوک است.

راه حل ترجیح داده شده است که از یک نشانه USB مانند YubiKey استفاده کنید. اکثر اینها نیاز به تعامل دارند، یعنی با فشار دادن یک دکمه در نشانه، برای جلوگیری از استفاده از نرم افزارهای مخرب بدون دانش کاربران، اما شما ممکن است قادر به پیدا کردن یکی از آنها نیست، یا به طور خلاصه شما ممکن است قادر به پیدا کردن یک که اجازه می دهد تا شما برای تغییر سیستم عامل خود و غیر فعال کردن این مورد.

نوشته‌شده در

مایکروسافت برنامه ریزی شده برای ترول ویندوز 10 کاربران با هشدار مرورگر

سلام اینترنت، ما آن را انجام دادیم! پس از خروج خوب از خشم و ناراحتی نسبت به مایکروسافت، ما تیم ویندوز را مجبور کردیم پیام های "هشدار" را برای نصب فایرفاکس و Chrome حذف کنیم. آنها در به روز رسانی اکتبر 2018 نخواهند بود.

در یک نظر به اد بوت در ZDNet، یک سخنگوی مایکروسافت گفت:

ما این قابلیت را تنها با استفاده از Insiders آزمایش کردیم – برنامه Insider ویندوز را قادر می سازد مایکروسافت تست ویژگی های مختلف، قابلیت ها و بازخورد garner قبل از نورد کردن به طور گسترده ای. مشتریان در کنترل خود باقی می مانند و می توانند مرورگر انتخاب خود را انتخاب کنند.

این هشدارها از ساختار داخلی Insider ویندوز 10 ناپدید شده اند. آنها در آخرین نسخه به روز رسانی اکتبر 2018 نخواهند بود، که احتمالا در تاریخ منتشر خواهد شد برخی از نکات در چند هفته آینده

در حالی که این سخنگوی مایکروسافت این را "ویژگی" می نامد، دقیقا همان چیزی نیست که ارزش آن را دارد: "هشدار" مبنی بر نصب Chrome یا فایرفاکس بعد از بارگیری آن، قطع دادن آن فرایند نصب همانطور که اشاره کردیم، این باعث می شود کاربران ویندوز را نادیده بگیرد تا هشدارهای امنیتی واقعی را نادیده بگیرند.

البته، تنها دلیل این «تست» ناموفق بود، زیرا کاربران ویندوز 10 را بیشتر از حد معمول خشمگین کرد. اگر این هشدار مرورگر فقط یک ویژگی بود که مقدار عادی خشم را به وجود آورد، مانند نصب خودکار Candy Crush Saga در Windows 10 Professional، مایکروسافت آن را تأیید نکرد.

اما امروز، جشن می گیریم. ما همه مایکروسافت را از انجام کاری نادان متوقف کردیم!

مرتبط: ویندوز 10 تلاش می کند تا فایرفاکس و کروم را فشار دهید لبه

نوشته‌شده در

TLS – آیا پسوند مرورگر یک خطر امنیتی بحرانی نیست؟

اخیرا تبلیغاتی زیادی به خطرات امنیتی عجیب و غریب مانند Spectre and Meltdown داده شده است که واکنش فوری واکنشهای پولوف از مایکروسافت، موزیلا و غیره است. اما اخیرا من متوجه شدم که واقعیت کنجکاو (به طور کلی شناخته شده) پسوند حزب برای دسترسی به همه چیز را در صفحاتی که به آنها دسترسی می کنید، از جمله داده هایی که در فرم های وب خود قرار می دهید، برای دسترسی به نیاز دارید.

با ذکر نام موزیلا:

"به ویژه یک مجوز وجود دارد" داده های خود را برای تمام وب سایت ها به دست آورید "، که از زمانی که این ویژگی راه اندازی شده است، بسیاری از سوالات را در مورد آن دریافت کردیم. دلیل آن این است که این کلمه به این دلیل است که یک صفحه وب می تواند تقریبا هر چیزی را داشته باشد و برخی از برنامه های افزودنی باید همه چیز را در آن بخوانند تا اقدام بر اساس آنچه که در صفحه وجود دارد، انجام دهید.
برای مثال، یک بلوک کننده آگهی نیاز به خواندن تمام محتوای صفحه وب برای شناسایی و حذف کد تبلیغاتی دارد. یک مدیر رمز عبور نیاز به شناسایی و نوشتن در فیلدهای نام کاربری و رمز عبور دارد. یک افزونه خرید ممکن است نیاز به خواندن جزئیات محصولات مورد جستجو را داشته باشد.
از آنجایی که این نوع extension ها نمی دانند که آیا یک صفحه وب خاص حاوی بیت است، تا زمانی که بارگذاری شود، باید تغییر کند، و نه فایرفاکس، به همه چیز در یک صفحه نیاز دارد تا بتواند قسمت های مناسب را جستجو و تغییر دهد. این بدان معنی است که در حقیقت، در حالی که نادر، یک توسعه دهنده مخرب می تواند به شما بگوید که توسعه دادن آن یک چیز است، در حالی که در واقع کاری دیگر انجام می دهد. »

اما این شامل حذف تمام رمزهای عبور شما، شماره کارت اعتباری و غیره می باشد. 19659002] این به نظر می رسد که فقط "خطر امنیتی" نیست، بلکه "خطر امنیت" است. این دیوانه است: رمزنگاری، به نظر من، اکنون چیزی نیست و کاربر، با برچسب سبز "Secure" در نوار URL مطمئن شده است. با خوشحالی شماره کارت اعتباری خود را وارد می کند تا بلافاصله به سرور دلخواهی ارسال شود که در ذهن او نیست ..

سوال من این است که چرا به نظر می رسد نسبتا کمی توجه به آنچه به نظر می رسد یک خطر امنیتی عظیم است؟ به عنوان مثال، انتظار دارم که به محض این که هر گونه پسوردهای مرورگر شخص ثالث با مجوز مشاهده «تمام اطلاعات خود» ، برچسب سبز «امن» برای سایتهای HTTPS با چیز دیگری جایگزین شود.

و نباید فرمت های مرورگر شخص ثالث را در آن ممنوع شود هر سازمانی که اطلاعات شخصی حساس را بررسی می کند؟

نوشته‌شده در

chrome – دریافت تشخیص مرورگر TLS

من یک سرور TLS در جاوا دارم که درخواست مشتری (cert) را نمی دهد. من یک مشتری TLS جاوا دارم که خوب کار می کند. اما اگر مرورگر در آن (Edge یا Chrome) اشاره کنم، مرورگر به تدریج بعد از پیام درخواست Cert، دستخوش خاتمه می شود. گواهی مشتری مرورگر به نظر می رسد به خوبی در یک زمینه متفاوت کار می کند

سوال من این است که آیا در هر مرورگر معمولی تنظیمات وجود دارد که به من تفسیر خود را از آنچه در حال انجام است و به همین دلیل، آنها فقط بسته سوکت . چیزی معادل با javax.net.debug