Linux, Chrome, mTLS  

Иногда хочется mTLS. Если совсем грубо, то это когда не только сервер предъявляет клиенту свой X509-сертификат, но и клиент серверу (на самом деле это только частный случай, но обычно делают именно так).

В разных браузерах хранилище пользовательских сертификатов реализовано по-разному. Например, у Mozilla Firefox оно своё собственное, а всякие там Edge и прочие Chrome используют system-wide хранилище.

Читать

Браузерный вуайеризм

На хабре появился пост (https://habr.com/ru/company/globalsign/blog/460987/) о нехороших плагинах для Chrome и Firefox, которые (зачастую) безведома пользователя, за ним подглядывают.

Суть: некая контора (Nacho Analytics) через плагины к указанным браузерам (список в конце поста), собирала с пользователей персональные данные:

  • GPS-координаты пользователей;
  • налоговые декларации, деловые документы, слайды корпоративных презентаций на OneDrive и других хостингах;
  • видео с камер безопасности Nest;
  • номера VIN недавно купленных автомобилей, имена и адреса их владельцев;
  • аттачменты к сообщениям Facebook Messenger и фотографии Facebook, даже отправленные приватно;
  • данные банковских карточек;
  • маршруты путешествий;
  • и многое другое.
Читать

Новые дыры в окнах

Гугл снова нашел дыры в популярном софте, в этот раз в Adobe flash и Windows. Adobe оперативненько подготовила обновления и все кто использует автоматическое обновление плагина уже его получили.  https://habrahabr.ru/post/314142/

А в виллабаджо … что они там делали? Посуду драили? В общем microsoft обновление пока не выпустил.

Еще в посте есть забавная статистика уязвимостей в разных браузерах. Общий смысл такой: в хроме, за последние пару лет, уязвимостей было найдено не меньше чем в IE и мозилле, но выполнить код на машине жертвы позволяли только 1-2% из них. В мозилле таких уязвимостей было 43%, в IE и Safari по 63%.

Есть над чем задуматься. Но блин сложно сменить превычный браузер, на пусть и хороший, но другой.

Adware под Chrome встраивает рекламу даже в https траффике

Рекомендую к ознакомлению стратью на хабре: http://habrahabr.ru/post/255333/, суть в том, что программа встраивается в ресурстный файл хрома, и встраивает рекламу в любые http страницы.

При этом, сама программа имеет валидную цифровую подпись компании Express Find. Проблема решается только сносом и переустановкой хрома.