Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 15 July 2013

2013.07.15 - Nyhetsbrev

Det er blitt publisert en studie på hvordan brukere responderer på advarslene som presenteres av Mozilla Firefox og Google Chrome. Det rapporteres også om at Amazons 1Button-applikasjon rapporterer inn dine surfebevegelser, og Cloudflare har publisert en kort innføring i TLS og den siste RC4-svakheten.

Amazon-knapp sender brukerdata i klartekst

Det rapporteres om at nettbutikken Amazons 1Button-applikasjon rapporterer inn alle nettsider du besøker til Amazon. Den samler også innhold fra noen nettsider som brukere besøker og sender til Alexa i klartekst over HTTP. Dette inkluderer nettsøk i Google og de 10 første søkeresultatene. Dette fungerer også på nettsider som bruker HTTPS.

I tillegg ble konfigurasjonen til pluginen hentet ned via HTTP, noe som gjorde det relativt enkelt ved hjelp av MITM-angrep (Man In The Middle) å få pluginen til å rapportere inn innhold fra vilkårlige HTTPS-sider ved å presentere pluginen for falske konfigurasjonsfiler. Dette skal være fikset, og disse hentes nå ned via HTTPS.
Referanser
http://blog.kotowicz.net/2013/07/jealous-of-prism-use-amazon-1-button.html
http://www.theregister.co.uk/2013/07/15/amazon_button_leaked_user_traffic/

Studie på nettleseradvarsler publisert

Studien er basert på i overkant av 25 millioner advarsler som er blitt presentert for brukere av nettleserne Mozilla Firefox og Google Chrome, og er blitt gjennomført av University of California i Berkeley og Google.

Undersøkelen viser at mindre enn 25 prosent av brukerne klikket seg videre når de ble advart om at nettsiden inneholdt malware eller phishing.

På SSL-advarsler var det relativt sprikende resultater, som trolig skyldes de ulike måtene de håndteres av Google Chrome og Mozilla Firefox. Resultatene kunne også tyde på at utformingen og hvilken informasjon som blir presentert brukeren hadde en relativt stor effekt.
Referanser
http://threatpost.com/uc-berkeley-study-confirms-browser-security-warnings-proving-effective/101266
http://www.cs.berkeley.edu/~devdatta/papers/alice-in-warningland.pdf

Cloudflare poster artikkel om TLS

Cloudflare har på sin blogg postet en artikkel om TLS. I den gir de en kort innføring i TLS og hvordan de bruker TLS. I tillegg skriver de også om en ny metode for å angripe RC4 som nylig ble publisert.
Referanser
http://blog.cloudflare.com/staying-on-top-of-tls-attacks

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.