msgbartop
Alles über Google Chrome & Google Chrome
msgbarbottom

03 Juni 12 Google Chrome Tabs Let Malware schleichen sich in Unternehmen


Google Drive: 10 Alternatives To See
(klicken Sie auf die Grafik für eine größere Ansicht und für Slideshow)

Google Chrome-Nutzer: Achte auf deine Gewohnheiten Sync. Der Browser-Tabs Fähigkeit, zwischen verschiedenen Computern zu synchronisieren könnte von einem Angreifer verwendet werden, um auf persönlicher oder geschäftlicher Kommunikation ausspioniert.

Die Tab-Synchronisation-Fähigkeit erschien im vergangenen Monat in der neueste Version der Browser Google Chrome, und ermöglicht es Benutzern, synchronisieren ihre geöffneten Browser-Tabs über Geräte. Infolge, Benutzer können in jede beliebige Version des Google Chrome Browsers anmelden–am heimischen PC, Arbeits-PC, oder mobile Geräte–und Zugriff auf ihre gespeicherten Tabs.

Leider, Das gleiche würde für Malware gehen. “Sich das folgende Szenario: Der Benutzer wird in Chrome auf die Arbeits-und Heimcomputer unterzeichnet. … Der Heim-Computer wird von einem Schädling infiziert. Jetzt alle von der Arbeit synchronisiert Daten (wie arbeitsbedingte Passwörter) wird durch die Malware-Besitz,” , sagte Rob Rachwald, Direktor der Sicherheitsstrategie bei Imperva, in Blog-Post.

“Wir nennen diese Art von Bedrohungen für BYOB ‘Bring Your Own Browser,'” sagte er. “Während BYOD schafft Herausforderungen der Mischarbeit Daten und persönliche Endpunkte, BYOB macht genau das gleiche–aber es ist eher schwer, da es keine physische Gerät beteiligt.”

Weiter, IT-Abteilungen könnten Schwierigkeiten haben, erfolgreich zu Schmierblutungen und blockiert Malware, infiltriert das Unternehmen auf diese Weise, vor allem angesichts der Zahl der Angriffe, die von einer infizierten Heim-PC gestartet werden konnte. “Auch wenn der Malware wird auf der Arbeit Computer desinfiziert, die Malware zu infizieren ist in der Lage immer und immer wieder–als Ursache der Infektion–der Heimcomputer–ist außerhalb der Reichweite der IT-Abteilung,” Rachwald sagte.

Zwei Möglichkeiten

Google nicht sofort auf eine Anfrage für eine Stellungnahme über die Durchführbarkeit dieser Angriffe reagieren, oder Schritte, die Benutzer könnten, um zu mildern diese Art von Bedrohung. Um sicher zu sein, dies ist ein theoretischer Angriff; keine solche Chrome-Targeting-Malware-Kampagne hat in der freien Wildbahn gesehen worden. Aber Malware könnte möglicherweise in einer Unternehmensumgebung huckepack, mit Chrom-Registerkarten, auf zwei Arten.

Der erste Exploit-Technik wäre es, wenn “die Malware ändert die Startseite oder Lesezeichen, um einige weisen auf eine Malware-Infektion vor Ort auf dem Computer zu Hause,” sagte Rachwald. “Die Einstellungen werden an Ihr Arbeitsumfeld synchronisiert. Wenn Sie Ihren Browser öffnen bei der Arbeit, Sie bekommen mit etwas Zero-Day-Drive-by-Download infiziert.” In diesem Szenario, Angreifer könnten die Malware auf anweisen halten Angriff auf das Unternehmensnetzwerk, und selbst variieren den Angriff genutzt, in einem Versuch, Abwehr zu entgehen. Das wäre schwierig für ein Unternehmen mit absoluter Zuverlässigkeit zu stoppen.

“Auch wenn der Malware wird auf der Arbeit Computer desinfiziert, die Malware zu infizieren ist in der Lage immer und immer wieder, als Ursache der Infektion–der Heimcomputer–ist außerhalb der Reichweite der IT-Abteilung,” sagte er.

Ein weiterer potenzieller Angriffspunkt wäre, wenn die Malware installiert einen Schurken Chrome-Erweiterung, und solche Erweiterungen sind auf der offiziellen erschienen Chrome Web Store in der Vergangenheit. Als Google stellt fest,, “jeder kann einen Artikel in den Chrome Web Store laden, Daher sollten Sie nur installieren Artikeln von Personen Ihres Vertrauens geschaffen,” und durch die Prüfung des Ratings und Bewertungen für eine Erweiterung, um abzuleiten, ob es zuverlässig ist. Google entfernt schnell alle bösartige Chrome-Erweiterungen, wenn sie sie entdeckt. Aber bis das passiert, jede bösartige Erweiterung ist in der Lage, ungestraft zu betreiben.

“Chrome-Erweiterungen sind böse,” Felix bemerkt “FX” Lindner, Kopf von Recurity Labs in Berlin. Dieser Kommentar kam während einer Rede, die er bei ausgeliefert Black Hat Europe Anfang dieses Jahres, in dem er deutlich gemacht, wie Chrom-Erweiterungen von einem Angreifer kann verwendet werden, um JavaScript direkten Einspritzen in den Browser. Was mehr, alle Benutzer, die in Chrome auf einer anderen Workstation unterzeichnen werden ihre Erweiterungen automatisch auf die aktuelle PC installiert. Infolge, ein böswilliger Erweiterung zu Hause installiert könnte leicht auf einem Arbeitsplatz-PC erscheinen, Erstellen einer Anfälligkeit ähnlich der, dass Rachwald markiert.

Warum sind bösartige Chrome-Erweiterungen so gefährlich? “Wenn Sie über eine Erweiterung installiert, es hat … ziemlich allmächtig Kontrolle über Ihren Browser Chrome,” Lindner sagte, Sprechen per Telefon. “Google versucht, die Verlängerung vom Zugriff auf Ihre Extension Manager verhindern, aber wir haben Wege gefunden, es zu tun. Google fixiert sie, aber ich bin ziemlich zuversichtlich, dass es andere Wege gibt.”

Verhindern, dass Anwender die Installation Chrome-Erweiterungen ist fast unmöglich. Für den Anfang, während die IT-Abteilung kann seine eigenen auf Chrome aufbauen, und setzen Sie ihn auf Erweiterungen zu blockieren, Sie installieren und ausführen können Ihre eigene Installation der Browser auf jedem PC, für die Sie berechtigt sind, das Home-Verzeichnis schreiben–keine Administrator-Rechte erforderlich.

Sicherheits-Abwehr auch nicht erkennen bösartigen Erweiterungen. “Dies alles Sein JavaScript und HTML, Das Corporate Antivirus ist nicht dabei, es zu fangen–oben auf der Tatsache, dass Sie den Download der Erweiterung via SSL aus dem Google-Web-Shop,” Lindner sagte. “Sofern Corporate [IT] Pausen SSL für Sie, sie werden nicht dafür sorgen, sowieso.

Seit Ihren Browser-Einstellungen werden mit JavaScript behandelt, ein böswilliger Erweiterung könnte automatisch–und ohne dass ein Nutzer sich dessen bewusst–Installieren und Ausführen von beliebigem Code im Browser. Zum Beispiel, Die Erweiterung könnte zu entfesseln einen Trojaner-Anwendung, die alles, was der Anwender tat aufgezeichnet, oder öffnen Sie eine manipulierte Webseite im Browser. Weiter, Wenn diese Erweiterung wurde zum ersten Mal zu Hause installiert, es würde automatisch geschoben, um Arbeit zu bekommen, wenn der Benutzer dort angemeldet ist in.

Angreifer sind nicht die einzige Sorge für Chrome-Nutzer, wie die Google Registerkarte Synchronisierung könnte auch während eingesetzt werden digitale forensische Untersuchungen. “Stell dir vor es gibt ein Verfahren gegen Sie bei der Arbeit, und sie tun Forensik, und sie bekommen alle Ihre Konten zu Hause,” Lindner sagte.

Aber das größere Bild, sagte er, ist, dass alle Nutzer die Auswirkungen auf die Sicherheit der Synchronisation von Informationen zwischen Chrome Registerkarten oder sogar überlegen zwischen Google-Services. “Ich bin wirklich nicht sicher, wer will: ein) geben Sie alle diese Informationen, um Google, und dann, b) tatsächlich synchronisieren Sie sie auf jeder einzelnen Maschine sie verwenden,” Sagte Lindner. “So viel zur Verteidigung. Aber vielleicht bin ich die falsche Person zu fragen,–Ich weiß nicht einmal über ein Google-Konto. Falsche Religion.”

Mitarbeiter und deren Browsern könnte das schwächste Glied sein in Ihrem Sicherheitsplan. Die neue, volldigitale Endpoint Unsicherheit Dark Reading Ergänzung zeigt, wie um sie zu stärken. (Kostenlose Registrierung erforderlich.)

Artikel Quelle: http://www.informationweek.com/news/security/attacks/240001345

Stichworte: , , , , ,

24 Mai 12 Erster Blick auf neue Retail-Chrom-Laden in der Innenstadt von Portland


New Chrome store in downtown Portland-21

Chrom, ein bekannter Beutel und urbane Radfahren / Lifestyle-Bekleidungsmarke, eröffnet eine neue Filiale in der Innenstadt von Portland gestern. Mitarbeitern von der Firma San Francisco Hauptsitz verbrachten drei Wochen komplett renovieren ein 1,300 Quadratmeter großen Raum an 425 SW 10th Avenue (um die Ecke von dem Ace Hotel und die Straße von Powell). Portland ist nur die vierte Stadt, wo Chrome einen Laden eröffnet hat, und wir sind mit Abstand die kleinste. Ihre andere Läden sind in San Francisco (ihren Sitz), New York City, und Chicago.

Chrome wurde gegründet 17 Jahren in Boulder, Colorado und zog nach San Francisco ein paar Jahre später. Seitdem, zu einem großen Teil auf ihre ikonischen Messenger Bags, sie haben ihre Produktpalette erweitert und bieten nun Kleidung, Rucksäcke, und Schuhe. Während ihre Ausrüstung ist nicht bike-spezifischen, Die Marke lebt und atmet urbane Radfahren und alles wird mit der Annahme gemacht, dass der Kunde rund um die Stadt auf dem Fahrrad bewegen.

Ich ließ durch ihren neuen Store gestern. Auch wenn die Türen war nur für ein paar Stunden offen, der Ort war schon brummt. Kunden, um sowohl außerhalb als auch um das Geschäft der TV-gefräst (das spielte alte Clips von Eddy Merckx bei der Tour de France). Und wie Sie vielleicht von einer Marke, die ihren Namen mit bombensicheren Qualität Messenger Bags gemacht erwarten, ein Großteil der Leute hängen im Laden waren vor Ort Fahrrad Boten.

Hier sind ein paar Schüsse aus dem Inneren…

New Chrome store in downtown Portland-15

New Chrome store in downtown Portland-13

New Chrome store in downtown Portland-19

New Chrome store in downtown Portland-14

New Chrome store in downtown Portland-12

New Chrome store in downtown Portland-18

New Chrome store in downtown Portland-9

New Chrome store in downtown Portland-11

Ich traf einen Mann in der Nähe der Haustür, Barry, wer sagte, er sei das Geschäft der erste Kunde. Er ist ein Fan von Chrom für eine Weile. “Ich bin froh, sie kamen nach Portland!” sagte er, lächelnd und zeigt seinen neuen Rucksack (was er mag, weil er seinen Laptop und Kleider darin tragen kann und es ist “ideal für unterwegs, weil es im Gepäckfach passt.”)

<!–/*
* Die Backup-Image Abschnitt dieser Tag ist für die Verwendung auf einem generiert worden
* Nicht-SSL-Seite. Wenn dieser Tag soll auf einer SSL-Seite platziert werden, ändern die
* ‘http://ads.neighborhoodnotes.com / OpenX / www / Lieferung /…’
* zu
* ‘https://ads.neighborhoodnotes.com / OpenX / www / Lieferung /…’
*
* Diese noscript Abschnitt dieser Tag nur zeigt Bild Banner. Dort
* keine Breite oder Höhe in dieser Banner, wenn Sie so wollen diese Tags, um
* Speicherplatz für die Anzeige, bevor es zeigt, müssen Sie diese hinzufügen
* Informationen an die tag.
*
* Wenn Sie wollen nicht mit den intricities des noscript umgehen
* Abschnitt, löschen Sie den Tag (aus … zu ). Auf
* Durchschnitt, das noscript-Tag wird von weniger als genannt 1% Internet
* Benutzer.
*/–>


<!–

–>

Eine andere Person, die froh ist Chrome kam nach Portland ist das Geschäft der Manager, Amanda Sundvor. Viele von euch vielleicht bereits wissen, Amanda wie die High-fiving und lebenslustige Mechaniker bei 21st Avenue Fahrräder (wo sie verwendet werden, um zu arbeiten), wie der DJ, der örtlichen Parteien Fahrrad hält hämmernden, oder als die Kraft der Natur hinter Backyard Blam (die Leute, die Ihnen das gebracht Bis Kreuz letzten Veranstaltung, unter anderem).

New Chrome store in downtown Portland-8

Sundvor liebte die Arbeit an der 21. Avenue, aber vor kurzem erlitt eine Handverletzung, die schlechten Arbeitsbedingungen auf dem Fahrrad schmerzhaft gemacht. Sie war gekommen, um die Leute von Chrome im Laufe der Jahre kennen und wenn sie bat sie, den neuen Store verwalten, sagt sie, “Es war sehr glückliche.” Jetzt ist sie die Überwachung eine Besatzung von sechs Mitarbeitern und ihre ansteckende Energie wird helfen, diesen Ort tickt.

New Chrome store in downtown Portland-24

Chrome Retail Marketing Manager Paul Wilson, kam aus San Francisco, um Mitarbeiter zu schulen und machen den Shop schauen genau das Richtige. Wilson, Wie viele Unternehmen habe ich im Laufe der Jahre gefragt, sagt, seine Firma wollte in Portland, weil sein, “Die tolle Atmosphäre und Gemeinschaft hier.” Wilson sagt, er will Chrome zu einem geworden “Nabe” (sie nennt sie nicht speichert) für die Gemeinschaft. “Wir sind hier in Portland an unsere Händler und Radfahren in der Stadt im Allgemeinen zu unterstützen… Wir wollen Menschen, hierher zu kommen, rumhängen, und finden Sie heraus, was los ist… Es ist eine Sache der Gemeinschaft, Wir wollen, dass zu fördern.”

New Chrome store in downtown Portland-10

Der Laden selbst ist wunderschön. Die 18 Meter hohen Decken machen Lust zum Verweilen ein und die von Hand gefertigt, Inventar aus Holz sind geschmackvoll mit städtischen Graphics Chrome und der verwirrenden Vielzahl von bunten Produkten integriert. In der Mitte des Ladens gibt eine große Holztisch für einen näheren Blick auf die Taschen. Wollen Sie wissen, wie alles eingepackt fühlt? Sie haben ein paar Gewichte du in der Tasche werfen können, um herauszufinden,.

In der Nähe des Schuh-Abschnitt ist ein geschmackvoll TV-Größe (nicht eine riesige Leinwand) und einige Treppen und Couches, um es zu sehen auf.

New Chrome store in downtown Portland-6

Im hinteren Teil des Ladens ist das, was sie den Ruf “Nähstation.” Sundvor sagt Kunden können einen Termin vereinbaren, um bestimmte Modelle Tasche custom made von der Filiale in Vollzeit Näherin. Einfach vorher anrufen, wählen Sie Ihre Tasche, Wählen Sie eine Farbe und andere Optionen, und sie werden es direkt vor Ihren Augen. Durch eine Partnerschaft mit Kurierdienst MercuryPDX, sie werden sogar liefern die Tasche zu Ihrer Tür noch am selben Tag (in der Regel) mit lokalen Bike-Boten.

New Chrome store in downtown Portland-4

Dies ist definitiv ein Geschäft lohnt sich (für Einheimische und Besucher gleichermaßen). Es gibt einen großen Eröffnungsfeier für First Donnerstag geplant am 7. Juni. Amanda sagt, um Ihre Waffen zu bringen, weil es ein Armdrücken Wettbewerb sein werde.

    Chrome Portland Retail Store
    425 SW 10.
    Stunden: Montag – Samstag 10-7, Sonntag 10-6
    Webseite

Willkommen in Portland Chrome! Hoffe es Ihnen nichts ausmacht alle regen…

New Chrome store in downtown Portland-3

<!–

–>

Email This Post Eintrag per Email

Geschrieben am 24. Mai, 2012 bei 12:43 pm. Filed under
Geschäft, Front Page und getaggt mit .

Sie können zum Ende springen und einen Kommentar hinterlassen. Pingen
ist derzeit nicht erlaubt.

Möglicherweise Ähnliche Beiträge

Artikel Quelle: http://bikeportland.org/2012/05/24/first-look-at-chromes-new-retail-store-in-downtown-portland-72301

Stichworte: , , , , ,

24 April 12 Firefox 12 freigegeben, nimmt Chrome Mimikry auf die nächste Stufe


Firefox logo (huge)

Obwohl Versionsnummern sind ziemlich sinnlos an dieser Stelle, Ich bin glücklich, zu verkünden, dass Firefox 12 wurde offiziell freigegeben. Es gibt zwei wichtige Veränderungen: Moving forward, Firefox (unter Windows) wird automatisch (und lautlos) aktualisieren, und - ein Lob sein - die Find-Funktion ist jetzt viel besser auf Zentrieren Sie die Seite auf alle Spiele.

Die Fähigkeit, lautlos zu aktualisieren sehr genau widerspiegelt Chrome, und wirklich, es ist ein Wunder, dass Mozilla hat so lange auf dieses wesentlichen Merkmals einführen genommen, nach dem Umschalten auf den Sechs-Wochen-Rapid Release-Zyklus vor fast einem Jahr, mit Firefox 5. Während der Arbeit an den Update-Prozess Opt-in-klingt wie das Richtige zu tun, es hat im Grunde in einem stark fragmentierten installierten Basis geführt. Wenn Chrome-Updates, fast jeder fährt sofort auf die neue Version - Mozilla, auf der anderen Seite, verfügt nun über viele, viele Benutzer aus über eine riesige Auswahl an Browsern zu verbreiten, aus den ganzen Weg zurück zu Firefox 3.

Firefox Software Updater UACBei der Installation von Firefox 12, Windows UAC wird Sie bitten, Firefox Software Updater zustimmen - und danach, Sie sollten niemals ein Update Dialog jemals wieder.

Aktualisiert @ 14:55: Sie können automatische Updates, indem Sie auf Erweiterte Optionen Updates deaktivieren.

Leider, trotz allem, was wir bereits berichtet, weder der neuen Registerkarte oder Home Tab schafften es in Firefox 12. Beide Funktionen sollen mit Firefox ankommen 13, jedoch - in nur sechs Wochen ab jetzt!

Firefox 14 favicon changeIn anderen Nachrichten, die neueste Nightly-Version von Firefox 14 entfernt wurde Favicons aus der Adressleiste; Das Symbol wird nun zeigen einfach einen Globus, oder ein Vorhängeschloss, wenn die Seite ist SSL-gesichert - ebenso wie Chrome. Dies ist vor allem eine Sicherheitslücke geschlossen: Nefarious Webseiten könnte ein Vorhängeschloss Favicon zu Trick Benutzer verwenden zu denken, dass die Website sicher ist.

Sie können Download Firefox 12 von der offiziellen Website, oder wenn Sie bereits Firefox nutzen, sollte Ihr Browser fordert Sie auf, bald zu aktualisieren. Auf der offiziellen Mozilla-Blog Die vollständigen Release-Notes.

Artikel Quelle: http://www.extremetech.com/computing/127295-firefox-12-released-takes-chrome-mimicry-to-the-next-level

Stichworte: , , , ,

14 April 12 Chrome False Start macht seinem Namen: Web-Sicherheit wird langsamer (aber …


In 2010, Google behauptet, es hatte eine Art, die deutliche Verringerung der Zeit, die auf verschlüsselte Webseiten laden, und in 2011, sie proklamierte Erfolg: “False Start” Berichten zufolge reduziert die Latenzzeit von SSL-Handshakes für die Nutzer des Google Chrome Browser von 30 percent. Das einzige Problem war, dass das Unternehmen nicht einen Weg finden, damit es funktioniert mit allen solchen WebsitesProzent5 percent, und diejenigen, die nicht funktionierten nicht zuverlässig genug ausfallen, dass Google könnte sie auf eine schwarze Liste hinzuzufügen oder weigerten sich, ihre Inkompatibilität beheben. Das ist, warum Google Sicherheitsforscher Adam Langley bekannt gegeben, dass ab Version 20 der Chrome-Browser, False Start wird standardmäßig deaktiviert werden… und warum der Google-Initiative wird wahrscheinlich in die Reihen der anderen Tech-Industrie in-Witze wie Digital Rights Management und Microsoft Works.

Artikel Quelle: http://www.theverge.com/2012/4/14/2947644/chromes-false-start-lives-up-to-its-name

Stichworte: , , ,

09 April 12 PSA: Wie vorübergehend zu fixieren, das Chrome SSL-Fehler


Über das Wochenende, Google Chrome erhielt ein Update, dass verhindert den Browser Zugriff auf SSL-basierte Dienste wie Google Mail, sowie Facebook und Twitter. Während Google hat eingeräumt, das Problem auf Google Groups, eine Lösung ist noch nicht heraus geschoben werden. Inzwischen, gibt es zwei Temporary Fixes für das Problem, so dass Sie auch weiterhin mit Chrome ohne Frust.

Die aktuelle Version von Chrome, 18.0.1025.151, erstellt eine Datei namens "chrome_shutdown_ms.txt" jedes Mal, wenn der Browser geschlossen wird. Wenn wiedereröffnet, SSL-Seiten nicht mehr zugänglich sind, statt dessen geben sie eine "Invalid Server Certificate"-Meldung. Hier ist, wie das Problem vermeiden, vorübergehend auf Windows 7: navigieren Sie zu "Benutzer[Benutzername]AppDataLocalGoogleChromeUser Daten ", und delete chrome_shutdown_ms.txt. Öffnen Chrome, und SSL-Sites sollte wieder funktionieren.

Das kann langwierig erhalten, wenn Sie mit zu schließen und erneut öffnen Sie den Browser auf einer regelmäßigen Basis sind, aber es gibt eine Möglichkeit, dass die Datei erzeugt stoppen in erster Linie. Um chrome_shutdown_ms.txt davor geschrieben stoppen, schließen Sie die aktuellen Tabs (und der Browser) mit Strg W, oder klicken Sie, um sie einzeln zu schließen anstatt sie zu schließen alles mit dem großen roten X.

Es gibt kein Wort noch auf, wenn Google wird darauf drängen, ein Update zu Chrome, um das Problem zu beheben, das scheint betroffen ein breites Spektrum von Anwendern haben. Wir empfehlen Ihnen, ein Auge auf diese Google Groups-Thread inzwischen.

Artikel Quelle: http://www.slashgear.com/psa-how-to-temporarily-fix-the-chrome-ssl-bug-09222097/

Stichworte: , , , , ,

07 April 12 Google Chrome schlagen durch SSL-Fehler einzuschränken Google-Services


Google Chrome heute hat sich durch einen Bug, der den Browser verhindert, dass die Anmeldung am Google-Dienste erfordern SSL getroffen, wie Google Mail und Google Docs. Nach einem Update auf Google Chrome wurde gedrückt, Benutzer von Windows 7 festgestellt, dass versucht, Google-Services zugreifen führte zu einer "Ungültige Server Certificate"-Meldung, mit keiner Weise das Problem umgehen, außer auf einen anderen Browser verwenden.

Das Problem scheint zu jenen mit der neuesten Version von Chrome isoliert werden, 18.0.1025.151, und die 64-Bit Version von Windows 7. Bisher der einzige Weg, um den Zugriff auf Google-Dienste mit Chrome gewinnen wieder an den Browser neu installieren, welche geben temporären Zugriff. Sobald Sie den Browser schließen und wieder öffnen, das Server-Zertifikat Fehler zurück.

Wir stolperten über den Bug bereits heute nachmittag nach der Aktualisierung von Chrome, und hatte zu Firefox zu wechseln, um die Google-Services zugreifen. Der Fehler wurde einem unserer Desktop-Computern mit Windows getroffen 7, aber offenbar nicht betroffen ein MacBook Air mit Windows haben 7 über BootCamp.

Nutzer von Chrome haben die Google-Support-Seiten mit dem gleichen Problem getroffen. Es gibt zwei Themen auf Google Groups, mit Dutzenden von Menschen in aller Berichterstattung das gleiche Problem. Ein Vertreter von Google geantwortet hat, sagen, dass sie in der Frage suchen, sowie Menschen fragen, um weitere Informationen zur Fehlerbehebung. Die genaue Ursache des Problems unklar ist im Moment.

Artikel Quelle: http://www.slashgear.com/google-chrome-hit-by-ssl-bug-restricting-google-services-06221921/

Stichworte: , , , ,

05 April 12 Google Chrome Updatet Stabile-und Beta-Channels


Google Chrome Updates Stable And Beta Channels

Google ist ständig damit beschäftigt hämmert auf neue Updates für Chrome. Die Hoffnung ist, zu offensichtlich machen es die sicherste und schnellste Browser auf dem Web. Während Chrome verfügt über mehrere Kanäle es Updates über, die stabilen und Beta-Kanäle empfangen die ständige Updates, die die Plattform definieren. Beide Kanäle empfangen heute ein kleines Update, das bietet eine Reihe von Fehlerbehebungen.

Detaillierung der Updates auf dem Google Chrome Releases Seite, Das Team hat Benutzer benachrichtigt, dass ein Update wurde gerollt hinaus zu den stabilen und Betat Kanäle in Chrome für Windows, Mac, Linux und Chrome Frame. Die Updates beheben, die heute eine Vielzahl von kleinen Bugs im Zusammenhang mit HTML5-Canvas, CSS, usw.. Die Korrekturen sind:

Schwarzer Bildschirm beim Hybrid-Grafik-System mit GPU-beschleunigte Compositing aktiviert
CSS nicht angewendet zu Element
Regression Rendern eines div mit Hintergrund-Farbverlauf und Grenzen
Canvas 2D-Strichzeichnung Bug mit GPU-Beschleunigung
Mehrere Abstürze
Popup-Dialog ist bei falscher Position
HTML-Canvas-Muster werden aufgebrochen, wenn Sie die Transformationsmatrix ändern
SSL interstitielle Fehler "trotzdem fortfahren" / "Back to safety"-Tasten funktionieren nicht

Google fand auch ein Problem mit der Mac-Version von Chrome. Es scheint, dass HTML5 Audio funktioniert bei einigen Mac-Computern arbeiten. Ein Fix für das wird wohl eher früher als später kommen.

Das neue Release enthält auch eine neue Version von Flash Player. Adobe gab eine große Sicherheitslücke geschlossen letzte Woche für Flash Player, aber diese Version scheint zu sein, ohne Bezug. Die Adobe Web-Site sagt dass das Update "richtet sich Speicherfehler auf Schwachstellen im Chrome-Schnittstelle."

Wie pro Tradition, Google Hände Geldprämien für Sicherheitslücken wies darauf hin, die von Mitgliedern der Gemeinschaft. In allen, Google ausgehändigt $6,000 in bar an drei Entwickler. Eine Person werde insbesondere durch den Chat-Namen miaubiz nach Hause nahm $4,500 für den Hinweis auf fünf Sicherheitslücken.

Es ist diese Art von Anreizen, die Chrome hält oben auf sein Spiel als eines der sichersten Browser im Web. Für umfassende Informationen zu diesem Release und mehr, bitte zuerst die Revision-Log.

Artikel Quelle: http://www.webpronews.com/google-chrome-updates-stable-and-beta-channels-2012-04

Stichworte: , , , , ,

21 Februar 12 Symantec kritisiert Google für Stripping Sicherheitszertifikat überprüft von Chrome


Stripping OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) Schecks von Google Chrome haben könnte gefährliche Auswirkungen, weil es Google in einen Single Point of Failure wiederum, nach Security-Anbieter Symantec.

Beim Zugriff auf eine Website über HTTPS, Browsern zu testen, ob ihr SSL-Zertifikat von der ausstellenden Zertifizierungsstelle wurde widerrufen. Dies wird durch Abfragen der CA OCSP-Responder oder durch Überprüfen der veröffentlichten Sperrliste getan.

Für Usability-Gründen, alle derzeit gängigen Browsern ignorieren OCSP-und CRL Anfragen, die den Netzwerk-Fehler standardmäßig, in welcher als weiche Treffsicher Mechanismus bekannt. Jedoch, einige von ihnen bieten dem Anwender die Möglichkeit, hart ausfallen ermöglichen, welche Fehler auslöst, für jede Anfrage, die unbeantwortet geht.

Adam Langley, Sicherheitsingenieur bei Google, hat angekündigt, dass Chrome stoppt Durchführung OCSP-und CRL Schecks in zukünftigen Versionen. Stattdessen, diese Kontrollen sind, um mit einer lokal zwischengespeicherten Liste der gesperrten Zertifikate, die auf dem neuesten Stand gehalten werden, wird von Google ersetzt werden.

Die Gründe für die Entscheidung sind, um die Leistung und Sicherheit Fragen im Zusammenhang. OCSP-und CRL Zugriffe erhöhen Ladezeiten und sind anfällig für Sperrung von Man-in-the-Middle-Angreifer oder Captive Portals, Webseiten üblicherweise von WLAN-Zugang verwendet, verweist auf HTTP-Verbindungen zu verhindern, bevor Benutzer zu authentifizieren.

“Dies ist eine Ecke Fall, der sehr selten geschieht. Wir argumentieren, dass man nicht verwerfen OCSP-und CRL, weil sie nicht in einem winzigen Bruchteil der Fälle nicht funktionieren,” sagte Fran Rosch, Vice President of Trust Services und SSL bei Symantec. “Sein Vorschlag, damit der Browser eine Liste der gesperrten Zertifikate wird Google zu einem Single Point of Failure, Welche Langley sich damit einverstanden ist schlecht Ingenieurpraxis.”

Nach Rosch, die weiche Fail Mechanismus gegenwärtig von Browsern verwendet wird, ist das wirkliche Problem, da sie es erlaubt HTTPS-Sessions, ohne festzustellen, ob das SSL-Zertifikat gültig ist oder nicht weiter. Symantec hat eine Verfügbarkeit von beibehalten 100 Prozent für die OCSP-und CRL Dienstleistungen für den letzten zehn Jahren, so CA-Ebene Ausfallzeiten sollte kein Problem sein, sagte er.

“OCSP eindeutig nicht funktioniert, weil alle heute gängigen Browsern funktionieren sie in weichen Fail-Modus. Das muss repariert werden,” sagte Ivan Ristic, Director of Engineering bei Sicherheitsfirma Qualys. “Meine Ansicht ist, dass Google sollte zuerst gemacht haben sich bemüht, das Problem zu beheben,” sagte er.

Qualys plant, ein Projekt mit dem Namen beginnen “Globale Überwachung der OCSP-Responder” was wird verfolgen die Verfügbarkeit aller OCSP-Responder zu identifizieren und CAs mit unzuverlässigen diejenigen. “Das wäre hoffentlich ermöglichen jedermann zu wechseln hart standardmäßig scheitern,” Ristic sagte.

Gemäß Ristic, die Leistungsprobleme könnte mit Hilfe einer Technik als OCSP-Heften bekannt gelöst werden, was beinhaltet die Besitzer eines SSL-Zertifikat der CA Abfrage OCSP-Server in regelmäßigen Abständen und Caching eine signierte Antwort. Diese Antwort würde dann die Kunden direkt bedient werden, ohne dass sie dazu, eine Verbindung zu einem separaten Host öffnen.

“Auch ohne OCSP-Heften, Browser starten können, um eine Website anzuzeigen, und führen Sie die Prüfung im Hintergrund, so gibt es nicht gehen, um eine unmittelbare Auswirkung auf die Leistung sein,” Ristic sagte. “Sie konnten sich schwer nach ein oder zwei Sekunden scheitern, möglicherweise Verhinderung einer weiteren Interaktionen mit der Website.”

Entfernen von OCSP-Schecks von Google Chrome könnte sogar juristische Konsequenzen für die Nutzer, wer nicht in der Lage, Haftung für Schäden, die aus der Nutzung von Zertifikaten schlecht behaupten, wenn die Software sie verlassen sich auf nicht machen muss sich bemühen, Zertifikatsperrliste Status zu überprüfen, , sagt Eddy Nigg, Gründer und Chief Technology Officer der Zertifizierungsstelle StartCom, per E-Mail.

“Streng genommen, Google als einer vertrauenden Partei-und Softwarehersteller möglicherweise nicht in der Lage, den Einsatz der CA-Stammzertifikate seinen Browser nutzt derzeit machen, wegen Nichterfüllung zu diesen vertrauenden Partei Verpflichtungen,” Nigg sagte.

Nigg vereinbart, dass das Problem der weiche Fail-Mechanismus in Browsern implementiert ist, die er beschrieben als ein Scheitern an sich. “Es ist vielmehr die Browser, die relativ schwach Implementierungen haben an ihrer Seite und nicht hart genug versuchen (und klug genug) zur Erlangung eines Status als Reaktion,” sagte er.

Artikel Quelle: http://rss.feedsportal.com/c/270/f/470440/s/1cc94381/l/0Lnews0Btechworld0N0Capplications0C33386850Csymantec0Ecriticises0Egoogle0Efor0Estripping0Esecurity0Ecertificate0Echecks0Efrom0Echrome0C0Dolo0Frss/story01.htm

Stichworte: , , ,

20 Februar 12 Symantec kritisiert Google für Stripping Sicherheitszertifikat überprüft von Chrome


Stripping OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) Schecks von Google Chrome haben könnte gefährliche Auswirkungen, weil es Google in einen Single Point of Failure wiederum, nach Security-Anbieter Symantec.

Beim Zugriff auf eine Website über HTTPS, Browsern zu testen, ob ihr SSL-Zertifikat von der ausstellenden Zertifizierungsstelle wurde widerrufen. Dies wird durch Abfragen der CA OCSP-Responder oder durch Überprüfen der veröffentlichten Sperrliste getan.

Für Usability-Gründen, alle derzeit gängigen Browsern ignorieren OCSP-und CRL Anfragen, die den Netzwerk-Fehler standardmäßig, in welcher als weiche Treffsicher Mechanismus bekannt. Jedoch, einige von ihnen bieten dem Anwender die Möglichkeit, hart ausfallen ermöglichen, welche Fehler auslöst, für jede Anfrage, die unbeantwortet geht.

Adam Langley, Sicherheitsingenieur bei Google, hat angekündigt, dass Chrome stoppt Durchführung OCSP-und CRL Schecks in zukünftigen Versionen. Stattdessen, diese Kontrollen sind, um mit einer lokal zwischengespeicherten Liste der gesperrten Zertifikate, die auf dem neuesten Stand gehalten werden, wird von Google ersetzt werden.

Die Gründe für die Entscheidung sind, um die Leistung und Sicherheit Fragen im Zusammenhang. OCSP-und CRL Zugriffe erhöhen Ladezeiten und sind anfällig für Sperrung von Man-in-the-Middle-Angreifer oder Captive Portals, Webseiten üblicherweise von WLAN-Zugang verwendet, verweist auf HTTP-Verbindungen zu verhindern, bevor Benutzer zu authentifizieren.

“Dies ist eine Ecke Fall, der sehr selten geschieht. Wir argumentieren, dass man nicht verwerfen OCSP-und CRL, weil sie nicht in einem winzigen Bruchteil der Fälle nicht funktionieren,” sagte Fran Rosch, Vice President of Trust Services und SSL bei Symantec. “Sein Vorschlag, damit der Browser eine Liste der gesperrten Zertifikate wird Google zu einem Single Point of Failure, Welche Langley sich damit einverstanden ist schlecht Ingenieurpraxis.”

Nach Rosch, die weiche Fail Mechanismus gegenwärtig von Browsern verwendet wird, ist das wirkliche Problem, da sie es erlaubt HTTPS-Sessions, ohne festzustellen, ob das SSL-Zertifikat gültig ist oder nicht weiter. Symantec hat eine Verfügbarkeit von beibehalten 100 Prozent für die OCSP-und CRL Dienstleistungen für den letzten zehn Jahren, so CA-Ebene Ausfallzeiten sollte kein Problem sein, sagte er.

“OCSP eindeutig nicht funktioniert, weil alle heute gängigen Browsern funktionieren sie in weichen Fail-Modus. Das muss repariert werden,” sagte Ivan Ristic, Director of Engineering bei Sicherheitsfirma Qualys. “Meine Ansicht ist, dass Google sollte zuerst gemacht haben sich bemüht, das Problem zu beheben,” sagte er.

Qualys plant, ein Projekt mit dem Namen beginnen “Globale Überwachung der OCSP-Responder” was wird verfolgen die Verfügbarkeit aller OCSP-Responder zu identifizieren und CAs mit unzuverlässigen diejenigen. “Das wäre hoffentlich ermöglichen jedermann zu wechseln hart standardmäßig scheitern,” Ristic sagte.

Gemäß Ristic, die Leistungsprobleme könnte mit Hilfe einer Technik als OCSP-Heften bekannt gelöst werden, was beinhaltet die Besitzer eines SSL-Zertifikat der CA Abfrage OCSP-Server in regelmäßigen Abständen und Caching eine signierte Antwort. Diese Antwort würde dann die Kunden direkt bedient werden, ohne dass sie dazu, eine Verbindung zu einem separaten Host öffnen.

“Auch ohne OCSP-Heften, Browser starten können, um eine Website anzuzeigen, und führen Sie die Prüfung im Hintergrund, so gibt es nicht gehen, um eine unmittelbare Auswirkung auf die Leistung sein,” Ristic sagte. “Sie konnten sich schwer nach ein oder zwei Sekunden scheitern, möglicherweise Verhinderung einer weiteren Interaktionen mit der Website.”

Entfernen von OCSP-Schecks von Google Chrome könnte sogar juristische Konsequenzen für die Nutzer, wer nicht in der Lage, Haftung für Schäden, die aus der Nutzung von Zertifikaten schlecht behaupten, wenn die Software sie verlassen sich auf nicht machen muss sich bemühen, Zertifikatsperrliste Status zu überprüfen, , sagt Eddy Nigg, Gründer und Chief Technology Officer der Zertifizierungsstelle StartCom, per E-Mail.

“Streng genommen, Google als einer vertrauenden Partei-und Softwarehersteller möglicherweise nicht in der Lage, den Einsatz der CA-Stammzertifikate seinen Browser nutzt derzeit machen, wegen Nichterfüllung zu diesen vertrauenden Partei Verpflichtungen,” Nigg sagte.

Nigg vereinbart, dass das Problem der weiche Fail-Mechanismus in Browsern implementiert ist, die er beschrieben als ein Scheitern an sich. “Es ist vielmehr die Browser, die relativ schwach Implementierungen haben an ihrer Seite und nicht hart genug versuchen (und klug genug) zur Erlangung eines Status als Reaktion,” sagte er.

Artikel Quelle: http://news.techworld.com/applications/3338685/symantec-criticises-google-for-stripping-security-certificate-checks-from-chrome/

Stichworte: , , ,