Над 80 TLS сертификата не бяха продължени заради прекъсването работата на американското правителство
Уеб порталът Netcraft заяви, че десетки държавни американски уеб сайтове са станали недостъпни или небезопасни поради спирането работата на държавното управление на Съединени американски щати. Не работят значими платежни портали и онлайн услуги, които се употребяват от НАСА, министерството на правораздаването на Съединени американски щати и апелационният съд.
Около 400 000 федерални чиновници са в насилствен отпуск и никой не се сеща, че би трябвало да се продължат периодите на деяние на над 80 TLS документа на държавни уеб уеб сайтове в.gov зоната . Ситуацията се задълбочава от това, че някои от тези уеб сайтове станаха недостъпни заради строгата политика за HSTS сигурност, която бе въведена преди тези събития.
Един от образците е https://ows2.usdoj.gov – уеб страницата на министерството на правораздаването на Съединени американски щати. Неговият документ изтече една седмица преди срутва на държавните служби. Сертификатът бе подписан от центъра за узаконяване GoDaddy, само че не е освежен след неговото приключване на 17 декември предходната година.
Домейнът usdoj.gov и всички негови поддомейни са включени в листата на HSTS Chromium. Това е рационална мярка за сигурност, която е причина всички модерни браузъри да употребяват безвредни и криптирани протоколи за достъп до уеб страницата на министерството на правораздаването. В сходни случаи браузърите, в това число Гугъл Chrome и Mozilla Firefox, преднамерено скриват спомагателната алтернатива, даваща опция на потребителя да заобиколи предизвестието и да посети уеб страницата.
Експертите по осведомителна сигурност на Netcraft смятат, че обстановката е плачевна, само че са на мнение, че когато се постанова избор сред удобството и сигурността е по-добре да се избере сигурността, когато няма метод да се обезпечи и едно и другото. Ако потребителите имаха опция да пренебрегват тези предизвестия, стават вероятни офанзивите от вида MiTM, точно за битката с които са предопределени TLS документите.
Само че HSTS политиката вярно е настроена единствено при някои.gow уеб сайтове. При останалите се демонстрира опцията за игнориране на предизвестието. Според Netcraft, по този метод осведомителната сигурност внезапно спада.
Така да вземем за пример, домейнът https://rockettest.nasa.gov/ не е включен в листата на HSTS политиката, макар че неговият документ изтече на 5 януари тази година.
Друг образец образно показва евентуалната заплаха от игнориране предизвестията на браузъра. Сертификатът на уеб страницата на лабораторията в Бъркли https://d2l.lbl.gov изтече на 8 януари 2019 година и още не е сменен. Понеже липсва ефикасна HSTS политика, потребителите могат да пренебрегват предизвестията и да влязат в раздела за вписване и логване. В този образец, ще се появи известие, че в тази уеб страница не трябва да се вкарва каквато и да било конфиденциална информация.
Държавните чиновници на Съединени американски щати излязоха в насилствен отпуск заради упоритата и твърда позиция на американската политическа сцена. Президентът Доналд Тръмп не желае компромис по въпроса за градежа на стена на границата с Мексико, която е част от неговите предизборни обещания. А демократите не желаят да одобрят бюджета от $5,7 милиарда, нужни за издигане на стената.
Около 400 000 федерални чиновници са в насилствен отпуск и никой не се сеща, че би трябвало да се продължат периодите на деяние на над 80 TLS документа на държавни уеб уеб сайтове в.gov зоната . Ситуацията се задълбочава от това, че някои от тези уеб сайтове станаха недостъпни заради строгата политика за HSTS сигурност, която бе въведена преди тези събития.
Един от образците е https://ows2.usdoj.gov – уеб страницата на министерството на правораздаването на Съединени американски щати. Неговият документ изтече една седмица преди срутва на държавните служби. Сертификатът бе подписан от центъра за узаконяване GoDaddy, само че не е освежен след неговото приключване на 17 декември предходната година.
Домейнът usdoj.gov и всички негови поддомейни са включени в листата на HSTS Chromium. Това е рационална мярка за сигурност, която е причина всички модерни браузъри да употребяват безвредни и криптирани протоколи за достъп до уеб страницата на министерството на правораздаването. В сходни случаи браузърите, в това число Гугъл Chrome и Mozilla Firefox, преднамерено скриват спомагателната алтернатива, даваща опция на потребителя да заобиколи предизвестието и да посети уеб страницата.
Експертите по осведомителна сигурност на Netcraft смятат, че обстановката е плачевна, само че са на мнение, че когато се постанова избор сред удобството и сигурността е по-добре да се избере сигурността, когато няма метод да се обезпечи и едно и другото. Ако потребителите имаха опция да пренебрегват тези предизвестия, стават вероятни офанзивите от вида MiTM, точно за битката с които са предопределени TLS документите.
Само че HSTS политиката вярно е настроена единствено при някои.gow уеб сайтове. При останалите се демонстрира опцията за игнориране на предизвестието. Според Netcraft, по този метод осведомителната сигурност внезапно спада.
Така да вземем за пример, домейнът https://rockettest.nasa.gov/ не е включен в листата на HSTS политиката, макар че неговият документ изтече на 5 януари тази година.
Друг образец образно показва евентуалната заплаха от игнориране предизвестията на браузъра. Сертификатът на уеб страницата на лабораторията в Бъркли https://d2l.lbl.gov изтече на 8 януари 2019 година и още не е сменен. Понеже липсва ефикасна HSTS политика, потребителите могат да пренебрегват предизвестията и да влязат в раздела за вписване и логване. В този образец, ще се появи известие, че в тази уеб страница не трябва да се вкарва каквато и да било конфиденциална информация.
Държавните чиновници на Съединени американски щати излязоха в насилствен отпуск заради упоритата и твърда позиция на американската политическа сцена. Президентът Доналд Тръмп не желае компромис по въпроса за градежа на стена на границата с Мексико, която е част от неговите предизборни обещания. А демократите не желаят да одобрят бюджета от $5,7 милиарда, нужни за издигане на стената.
Източник: kaldata.com
КОМЕНТАРИ