Taggat med: https

Google väljer nu https som standard

GoogleGoogle meddelade för ett tag sedan att de favoriserar sajter som går att nå över https. Och igår så meddelade även de även att de nu kommer att välja https-urler före http-urlen om ett antal kriterier uppfylls:

  • Sidan inte innehåller osäkra beroenden (dvs innehåll över http)
  • Sidan inte är blockerad i robots.txt
  • Sidan inte gör ompekningar till http-versionen
  • Sidan inte innehåller rel=”canonical” länkar till http-version
  • Sidan inte innehåller noindex robots meta tagg.
  • Sidan inte har on-host utlänkar till HTTP URLer.
  • Sitemapen innehåller HTTPS URLer, eller att den ej listar HTTP  URLen
  • Sidan har ett fungerande TLS-certifikat

Även intressant är att Google crawlern nu även fångar upp HSTS-headers.

Läs mer om HTTP Strict Transport Security (HSTS) här:

Köp SSL-Certifikat med Bitcoins

Vår systemsajt https.se har nu öppnat upp möjligheten att köpa SSL-Certifikat med hjälp av Bitcoin. Bitcoin har blivit otroligt populärt i Sverige och nyligen så hade bl.a. DN en artikel om en taxi i Sverige där det är möjligt att betala med Bitcoin.

1 BTC är cirka 3100 SEK med dagens kurs.

bitcoin

Vill du ha koll på svenska Bitcoin-nyheter? Se då till att följa Bitcoin.se där finns även en lista med handlare som tar Bitcoin.

Mitmproxy 0.7

Verktyget mitmproxy som används för att genomföra man-i-mitten attacker (man-in-the-middle) angrepp finns nu ute i en ny version. Verktyget kan exempelvis användas för att analysera trafik till och från datorer, iPhone, iPads eller andra enheter.

* New built-in key/value editor. This lets you interactively edit URL query
strings, headers and URL-encoded form data.
* Extend script API to allow duplication and replay of flows.
* API for easy manipulation of URL-encoded forms and query strings.
* Add ”D” shortcut in mitmproxy to duplicate a flow.
* Reverse proxy mode. In this mode mitmproxy acts as an HTTP server,
forwarding all traffic to a specified upstream server.
* UI improvements – use unicode characters to make GUI more compact,
improve spacing and layout throughout.
* Add support for filtering by HTTP method.
* Add the ability to specify an HTTP body size limit.
* Move to typed netstrings for serialization format – this makes 0.7
backwards-incompatible with serialized data from 0.6!
* Many minor bugfixes and improvements.

Här kan du ladda hem mitmproxy 0.7:

Här finnes en video med mitmproxy från YouTube:

Diverse kryptonytt: iPhone, WEP, Tor, PFS, OpenPGP JavaScript

Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:

McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.

Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.

Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.

Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.

Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.

Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.

Twitter börjar med https-kryptering för alla

Den populära mikroblogg-tjänsten Twitter börjar successivt med att slå på https för samtliga avändare. Vi rapporterade i Mars att Twitter slagit på https och valet att nu gå över helt till https beror troligtvis på attacker såsom Firesheep.

Källa:

We suggest using HTTPS for improved security. We’re starting to turn this on by default for some users. More here: http://t.co/p1HWKpVless than a minute ago via web Favorite Retweet Reply



Du kan även titta på supportsidan: support.twitter.com/articles/481955-how-to-enable-https

HTTPS Everywhere version 1.0

Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.

Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare  som gör det möjligt att tvinga fram https.

HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.

Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere

Falska SSL-certifikat utfärdade via Comodo

SSL-leverantören Comodos återfösäljare RA blev hackade och någon lyckades att utfärda giltiga SSL-certifikat för webbsidor såsom:

  • mail.google.com (GMail)
  • login.live.com (Hotmail etc)
  • www.google.com
  • login.yahoo.com (tre certifikat)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • ”Global Trustee

Den som var först att uppmärksamma detta var Jacob Appelbaum som skrev om detta på Tor-bloggen. Sedan dess så har Comodo gått ut med ett uttalande och berättar att attacken bl.a. spårats till Iran.

Huruvida Svenska banker exempelvis kan motstå en attack där angriparen har möjlighet att skapa giltiga certifikat är något som vissa hanterar bra och andra troligtvis mindre bra.

Historien har fått namnet ”Comodogate”. Comodo lovar även att återkomma med mer tekniska detaljer på dess blogg.

Uppdatering: Observera att detta är giltiga SSL-certifikat som utfärdats av en angripare. Titeln på detta blogginlägg kan således vara missvisande.

Twitter inför HTTPS

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

Uppdatering: Nu har även IDG skrivit om denna nyhet.