Tính năng nâng cấp mới
Theo các kỹ sư của Google, tính năng này được gọi là “HTTPS-Upgrades” và sẽ bảo mật các liên kết cũ sử dụng HTTP bằng cách tự động kết nối với URL trước tiên qua giao thức HTTPS được mã hóa.
Ví dụ: nếu một trang web có liên kết như http://www.example.com thì Chrome sẽ thay đổi liên kết đó thành https://www.example.com trước khi điều hướng. Điều này buộc các kết nối thông qua giao thức HTTPS an toàn hơn, giao thức này mã hóa lưu lượng truy cập và ngăn chặn việc tấn công giả mạo. Quá trình nâng cấp diễn ra liền mạch trong nền, do đó người dùng sẽ không nhận thấy bất kỳ thay đổi nào ngoại trừ việc chuyển URL từ giao thức này sang giao thức khác.
Việc triển khai có giới hạn tính năng này trong Google Chrome đã bắt đầu vào tháng 7 nhưng kể từ ngày 16/10, Google hiện đã triển khai tính năng này cho tất cả người dùng trên bản phát hành Stable (đây là phiên bản mà nhóm phát triển của Chrome khuyến nghị người dùng cài đặt).
HTTPS-Upgrades là một tính năng của Google Chrome tự động nâng cấp tất cả điều hướng mainframe lên HTTPS. Trước đây, các trình duyệt thường đưa ra các yêu cầu HTTP không an toàn tới các trang web có khả năng hỗ trợ HTTPS.
Cho dù đó là do người dùng nhấp vào liên kết cũ hay do nội dung trên trang web chưa được nâng cấp để sử dụng giao thức mới, thì các kết nối qua giao thức HTTP đều không được mã hóa và có thể bị các tác nhân đe dọa “rình rập” để đánh cắp thông tin xác thực hoặc dữ liệu nhạy cảm khác.
Google cho biết điều này cũng có thể xảy ra bằng cách tải tài nguyên HTTP từ:
Trong mỗi trường hợp, quyền riêng tư và bảo mật của người dùng đều bị xâm phạm thông qua các kết nối không an toàn không cần thiết.
Các phương pháp hiện có để thực thi HTTPS, chẳng hạn như danh sách tải trước HSTS hoặc danh sách nâng cấp được quản lý thủ công, đều có những hạn chế. Chúng liên quan đến các thiết lập phức tạp và rủi ro hoặc phục vụ cho một phạm vi trang web hạn chế. Ngoài ra, việc duy trì danh sách cập nhật các trang web được hỗ trợ HTTPS có thể gặp khó khăn và tốn nhiều băng thông.
Google đang khắc phục các sự cố bảo mật với bản nâng cấp HTTP
Với bản cập nhật này, Chrome đặt mục tiêu tự động nâng cấp các liên kết HTTP trong trang lên HTTPS, triển khai cơ chế dự phòng nhanh chóng thành HTTP nếu cần. Việc nâng cấp tác động đến nhiều khía cạnh khác nhau của việc duyệt web:
Một số ít trang web vẫn phân phối nội dung khác nhau qua HTTP và HTTPS. Google thừa nhận việc nâng cấp những thứ đó có thể gây ra sự cố, mặc dù HTTPS tự động vẫn riêng tư hơn HTTP mặc định. Tác động của điều này đến người dùng sẽ trở nên rõ ràng hơn khi tính năng này được triển khai rộng rãi hơn.
Hiện tại, thay đổi này có nghĩa là người dùng Chrome sẽ tự động được tăng cường bảo mật khi duyệt web. Theo thời gian, nó cũng có thể thúc đẩy nhiều trang web hơn hỗ trợ HTTPS đúng cách để tránh các vấn đề hạ cấp.
Với xu hướng đánh dấu các trang HTTP là “Not secure”, nâng cấp này là một biện pháp chủ động để bảo vệ người dùng, đặc biệt là trên các trang web khó có thể được cập nhật lên HTTPS.
Phương Chi
09:00 | 02/08/2024
15:00 | 19/01/2024
15:00 | 26/10/2023
10:00 | 25/06/2024
15:00 | 24/10/2023
14:00 | 23/05/2024
18:00 | 22/09/2023
10:00 | 19/06/2024
Ngày 18/6, tại Thừa Thiên Huế, Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ đã tổ chức triển khai máy tính an toàn đa giao diện có cài đặt sản phẩm mật mã - MTCD-3M (3M) và tập huấn, hướng dẫn quản lý, sử dụng máy 3M cho cán bộ, chuyên viên các phòng chuyên môn thuộc Văn phòng Tỉnh ủy và văn thư các cơ quan tham mưu giúp việc Tỉnh ủy.
10:00 | 07/06/2024
Bảo đảm an ninh mạng rất đóng vai trò quan trọng, giúp bảo vệ dữ liệu, hệ thống và mạng của tổ chức, doanh nghiệp khỏi các cuộc tấn công của tội phạm mạng. Các cuộc tấn công này có thể làm gián đoạn, gây tổn thất về dữ liệu và chi phí cho doanh nghiệp. Các chuyên gia bảo mật thuộc Công ty An ninh mạng Viettel đã đưa ra khuyến nghị về năm cách bảo vệ hệ thống dành cho doanh nghiệp, nếu áp dụng chính xác có thể giảm thiểu tới 90% các cuộc tấn công mạng.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
13:00 | 30/09/2024