Microsoftova ranljivost omogoča(la) ponarejanje certifikatov

Januarja je Microsoft objavil eno (naj)večjih ranljivosti sistema Windows in že dan zatem je varnostni raziskovalec pokazal demonstracijo, kako jo izkoristiti, s tem ko je na spletnih mestih NSA.gov in Github.org vstavil videoposnetek, katerega bi kaj lahko zamenjala tudi škodljiva koda.

Kritična ranljivost (opisana v CVE) namreč omogoča prevaro spletnih brskalnikov pri preverjanju naslovov HTTPS spletnih strani. Povedano na kratko: dosedanje knjižnice operacijskega sistema so preverjale »vse« (no, tri ključne ECC) parametre razen osnovnega podatka. V primeru, ko je napadalec uspel sestaviti certifikat, ki ima tri ustrezne kriptografske komponente, si je lahko četrto, ključno, dodal po lastni izbiri. Zahtevnost ponaredka je več velikostnih razredov manjša kot napad z grobo silo ali iskanjem kolizij zgoščevalnih funkcij. Sam varnostni algoritem sicer ni problematičen – le njegova implementacija ni najbolj posrečena. Microsoft je sicer ustrezen popravek za svoje operacijske sisteme že izdal, prav tako Google za brskalnik Chrome, a na računalnikih, ki redno ne prejemajo in nameščajo popravkov, lahko napadalci s prevaro za sistem Windows zaupanja vrednega certifikata ustvarijo lastno avtentikacijo za spletne strani, programsko opremo itd.

Piškotki za analitiko
Ti se uporabljajo za beleženje analitike obsikanosti spletne strani in nam zagotavljajo podatke na podlagi katerih lahko zagotovimo boljšo uporabniško izkušnjo.
Piškotki za družabna omrežja
Piškotki potrebni za vtičnike za deljenje vsebin iz strani na socialna omrežja.
Piškotki za komunikacijo na strani
Piškotki omogočajo pirkaz, kontaktiranje in komunikacijo preko komunikacijskega vtičnika na strani.
Piškotki za oglaševanje
So namenjeni targetiranemu oglaševanju glede na pretekle uporabnikove aktvinosti na drugih straneh.
Kaj so piškotki?
Z obiskom in uporabo spletnega mesta soglašate z uporabo in beleženjem piškotkov.V redu Več o piškotkih