据外媒报道,Google 正在继续推动通用加密,要求所有 45 个顶级域名( TLD )在其控制下进行安全连接,其中包括 .com、.org、.net、.gov、.int、.edu等后缀结尾的域名。为确保这 45 个顶级域名安全连接,Google 将使用 HSTS 或 HTTP 严格的运输安全。调查显示,自从 2010 年将 Gmail 移至 HTTPS 时,Google 一直在推动通用加密或 HTTPSEverywhere。此外,从去年开始对个人网站的 SSL 证书及加密进行施压。知情人士透露,从 2018 年开始,每当有人访问仍然通过 HTTP 服务的网站时,Google 会在地址栏中放置一个“不安全”的指示。
HSTS 是一种机制,强制 Web 浏览器只通过 HTTPS 连接到您的网站。有一些称为 HSTS 预加载列表的东西,它自动存储在浏览器中,并告诉他们自动执行 HTTPS 连接。这增加了一层安全性,因为它防止降级攻击。
据悉,当浏览器收到一个网站的 HSTS 时,意味着网站所有者已启用 HTTP 严格传输安全,以便 HTTP 连接永远不会遭到重置。但是,在浏览器收到 Header 之前,你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。不过 Google 已基本上为其所有顶级域名解决了这个问题。
HSTS 预加载列表可以包含域,子域和顶级域名。直到 2015 年,没有人尝试添加顶级域名,Google 添加了同名的 .google。目前,它还增加了其他 44 个顶级域名。据悉,通过将所有顶级域名置于列表中,浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在顶级域名级别的预载列表中。
然而,获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表,算是 Google 对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的 .google、.how、.soy,第四个 .app 即将上线。Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求,增强你的 SSL 产品将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。
稿源:cnBeta、誉名网,封面源自 *** ;
Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT ...
Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。...
加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某...
在美国遭受多次利用开源软件漏洞的攻击后,包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的,该软件在国际上被用于应用程序的数据记录。 白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官,说这种开源软件是一个”...
一个新的人工智能系统会生成假文件来欺骗对手。在第二次世界大战期间,英国情报人员在一具尸体上植入假文件,以愚弄纳粹德国,使其准备进攻希腊。这一名为”碎肉”的行动获得了成功,并成功掩护盟军对西西里岛的实际入侵。 间谍活动中的 “金丝雀陷阱”技术传播了多个版本的假文件以掩盖秘密,它可以用来嗅出信息的...
欧盟司法专员Didier Reynders、卢森堡首相Xavier Bettel和数十名欧盟官员都被卷入了Facebook的数据泄露事件,该事件被发布到公共论坛上并广泛流传。 他们的数据是周六被发现的5.33亿条记录的一部分,包括电话号码、Facebook ID、全名和出生日期,并在网上论坛上免费流...
