• Liknande innehåll

    • Av JoWa
      Förra veckan presenterade Wikimedia Foundation sina planer för förbättrad säkerhet vid anslutning till något av Wikimedia-projekten (Wikipedia, Wiktionary m.fl.):
      The future of HTTPS on Wikimedia projects
      Wikimedia-projekten har varit tillgängliga via HTTPS sedan 2011: Native HTTPS support enabled for all Wikimedia Foundation wikis
      Nu höjer de säkerhetsnivån genom att steg för steg se till att HTTPS används som standard. Att det görs stegvis beror på att deras nuvarande arkitektur inte kan hantera HTTPS som standard för alla. De börjar därför med inloggningen och inloggade användare.
      Tills HTTPS är aktiverat som standard på alla Wikimedia-sidor, rekommenderar Wikimedia att man använder HTTPS Everywhere (Chrome, Firefox; fungerar även med Opera 15+).
      En förbättring som inte nämns i bloggen är det förbättrade stödet för kryptografiska protokoll. Nu stöds den senaste och säkraste protokollversionen, TLS 1.2, mot tidigare TLS 1.0 som bästa protokoll ([Wikitech-l] no TLS 1.1 and 1.2 support).
      Dagen innan Wikimedia publicerade sina planer, presenterade Facebook sina ambitiösa planer för bättre säkerhet: Secure browsing by default 
      Detta efter att ha erbjudit HTTPS som alternativ sedan början av 2011: A Continued Commitment to Security
      Vidare kan nämnas att Myspace nu använder HTTPS som standard: https://myspace.com/
      Att Yahoo! Mail i början av 2013 gjorde HTTPS användbart för hela sessionen (inte bara inloggning och kontohantering) har tidigare rapporterats: Yahoo! Mail och SSL/TLS
      En del av Googles sedan länge pågående arbete med att förbättra säkerheten har också rapporterats: Krypterad Google-sökning
      Sammanfattningsvis kan sägas att 2013 ser ut att bli ett bra år för kryptering på Internet. Men samtidigt dyker Breach upp.
    • Av JoWa
      Secure Sockets Layer (SSL) utvecklades av Netscape, och lanserades (version 2.0) i februari 1995. SSL uppdaterades till version 3.0 1996. SSL är ett kryptografiskt protokoll som används för att skapa säkra (krypterade) förbindelser över Internet.
      Utvecklingen gick vidare, och SSL fick en efterträdare i Transport Layer Security (TLS). Version 1.0 av TLS lanserades i januari 1999, följd av TLS 1.1 (april 2006) och TLS 1.2 (april 2008).
      Alla dessa versioner kan ännu användas, men SSL 2.0 är en mycket osäker version, och väldigt får servrar stöder SSL 2.0. I ingen av dagens webbläsare är SSL 2.0 aktiverat, och endast Internet Explorer (t.o.m. version 10) har möjlighet att aktivera den osäkra protokollversionen.
      TLS 1.0 är den mest använda protokollversionen. Alla (?) servrar stöder den, och alla webbläsare har sedan länge stöd för TLS 1.0 aktiverat som standard.
      Internet Explorer i Windows 7 och 8 stöder även TLS 1.1 och 1.2, men dessa versioner är inte aktiverade som standard. För att aktivera, öppna Internetalternativ, fliken Avancerat, rubriken Säkerhet. Markera ”Använd TLS 1.1” och ”Använd TLS 1.2”. Markera inte ”Använd SSL 2.0”.

      Opera stöder även TLS 1. 1 och 1.2, men det är inte heller där aktiverat som standard. För att aktivera, gå till Inställningar, Avancerat, Säkerhet, Säkerhetsprotokoll.

      Eller skriv opera:config i adressfältet, tryck Retur. Skriv ”tls” i sökrutan och markera ”Enable TLS v1.1” och ”Enable TLS v1.2”.

      Firefox och Chrome använder Network Security Services (NSS), som stöder upp till TLS 1.1. I Chrome är TLS 1.1 aktiverat som standard, medan Firefox ännu (v. 18) endast stöder SSL 3.0 och TLS 1.0.
      I Opera och Chrome kan man lätt se vilket krypteringsprotokoll som används, se bifogade bilder.

      Läsning:
      Wikipedia: Transport Layer Security
      Wikipedia: Network Security Services
      Adam Langley (Google): New TLS versions
    • Av JoWa
      Att en kommande version av Internet Explorer skall stödja HTTP Strict Transport Security (HSTS) har varit känt en tid, bl.a. genom https://status.modern.ie/httpstricttransportsecurityhsts?term=hsts
       
      Nyligen publicerades ett inlägg på IEBlog som bekräftar stöd för HSTS i IE och senare Project Spartan i Windows 10: 
      HTTP Strict Transport Security comes to Internet Explorer Inte fem år för tidigt, men bättre sent än aldrig.
       
      IEBlog bekräftar även att Googles förladdningslista, med för närvarande drygt 1 500 förladdade domäner med läget force-https, används. Denna ”förladdning” (preload) av domäner är mycket värdefull, HSTS lämnar den allra första anslutningen till en HSTS-domän sårbar.¹ Det är nämligen först efter att en säker anslutning till en HSTS-domän har gjorts som webbläsaren vet att den endast skall ansluta säkert till den domänen i fortsättningen, under den tid som är angiven i HSTS-headern, och vanligen 180 dagar eller längre. Twitter har tagit i ordentligt, med hela 7 304 dagar (20 år).²
       
      ¹ https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Limitations
      ² https://spdycheck.org/#twitter.com
    • Av JoWa
      Önskemål: säker anslutning till alltomwindows.se
       
      Nu för tiden anses all information vara ”känslig”, och målet är att varje anslutning så snart som möjligt skall vara säker. Därmed finns det anledning att erbjuda säker anslutning för alla som besöker alltomwindows.se. Dock är viss information mer känslig än annan, och dit hör förstås inloggningsuppgifter och privata meddelanden, samt information i forumets interna avdelningar.
       
      I Firefox 46, som nu är beta, märks osäkra anslutningar som osäkra (överstruket hänglås) om sidan innehåller ett inloggningsformulär: Login Forms over HTTPS, Please
       
      Att märka osäkra anslutningar som osäkra (oavsett sidans innehåll) är under utvärdering för Chrome: Marking HTTP As Non-Secure
       
      Vad jag kan se, är det Amazon som hyser AoW, och där kan man få ett certifikat gratis. Certifikatet förnyas också automatiskt.
    • Av JoWa
      EFF har publicerat två artiklar om Superfish, det annonsprogram som Lenovo har installerat på sina datorer.
      Lenovo Is Breaking HTTPS Security on its Recent Laptops How to Remove Superfish Adware From Your Lenovo Computer En testsida gjord av Filippo Valsorda, som visar om Superfish är aktivt: https://filippo.io/Badfish/
       
      Lenovos ynkliga kommentar (som helt förtiger själva problemet): LENOVO STATEMENT ON SUPERFISH
    • Av JoWa
      HTTP 2.0 är under utveckling. Internet Engineering Task Force (IETF) har att ta ställning till inlämnade förslag. Tre förslag har lämnats in. Det första är ”SPDY” (speedy) från Google. Det andra är ”HTTP Speed+Mobility” från Microsoft. Googles förslag utgår ifrån TLS (Transport Layer Security), som används vid krypterade anslutningar (https-adresser) och en ”SPDY-anslutning” är alltid krypterad. ”Although SSL does introduce a latency penalty, we believe that the long-term future of the web depends on a secure network connection.” (källa) Microsofts förslag bygger på SPDY och WebSocket, men kryptering, komprimering och ”server push” är inte obligatoriska i Microsofts version. Ett tredje förslag har lämnats in av en grupp utvecklare av öppen mjukvara. De tre förslagen kan läsas här:
      SPDY: https://tools.ietf.o...he-httpbis-spdy HTTP Speed+Mobility: https://tools.ietf.o...-speed-mobility Tarreau, et al.: https://tools.ietf.org/html/draft-tarreau-httpbis-network-friendly-00 SPDY används redan av bl.a. Google, som har aktiverat det på sina servrar, och i sin webbläsare Chrome. Vid anslutning till exempelvis https://www.google.se/ med Chrome, används SPDY. Detsamma gäller vid anslutning till https://twitter.com. Förutom Chrome, stöds SPDY av Firefox 11 och senare (som standard aktiverat i 13 och senare).

      Användning av eller stöd för HTTP Speed+Mobility känner jag inte till något om.

      Information från Google:
      SPDY
      Making the web speedier and safer with SPDY

      Information från Microsoft:
      Speed and Mobility: An Approach for HTTP 2.0 to Make Mobile Apps and the Web Faster
      News from MS Open Tech: Initial HTTP Speed+Mobility Open Source Prototype Now Available for Download

      Information från Mozilla:
      Platform/Features/SPDY
      SPDY Brings Responsive and Scalable Transport to Firefox 11

      Wikipedia:
      HTTP 2.0
      WebSocket
      SPDY
      Microsoft SM

      CNET News:
      Microsoft: Google's SPDY is nice for a faster Web, but...

      Slashdot:
      Google's SPDY Could Be Incorporated Into Next-Gen HTTP
      S+M Vs. SPDY: Microsoft and Google Battle Over HTTP 2.0

      ExtremeTech:
      S&M vs. SPDY: Microsoft and Google battle over the future of HTTP 2.0