标签: Chrome

Let’s Encrypt 保驾护航的 HTTPS 网站数量已突破1亿

备受欢迎的安全证书颁发机构 Let’s Encrypt 宣布,当前它已经为超过 1 亿个网站保驾护航,而且这个数字还在持续增长。仅在上个月,使用 HTTPS 保护的站点数量就增加了 2400 万。一天前,Google 刚刚宣布 —— 从 Chrome 68 开始,该浏览器将正式向所有不安全的 HTTP 站点开炮。 在谈到 Let’s Encrypt 和最近的消息时,项目负责人、前 Mozilla 雇员 Josh Aas 表示: 在 Let’s Encrypt 项目推出之前,让每个都启用 HTTPS 是不现实的,毕竟这对财务、技术、教育等方面提出了一定的要求。 我们着力于大规模的易用性工作,这就是近年来部署 HTTPS 的惊人增长的主要推动力。 今天,Let’s Encrypt 签发的加密证书已经覆盖了超过 1 亿个网站,且有望在 2018 年底前达到 1.5 亿+。 Let’s Encrypt 的增长,对业界来说是一个很好的标志性事件。因为它有助于保护人们在登录网站时不被黑客入侵,尤其是那些鱼龙混杂的公共网络。 结合 Google Chrome 突显 HTTP 不安全警告,我们预计可以大幅促进网络上 HTTPS 的增长。 遗憾的是,仍有许多大网站没有即时跟进部署 HTTPS,比如 WhyNoHttps.com 就指出: 中国仍有许多不安全的网站,此外 t.co、wikia.com、bbc.com、foxnews.com、dailymail.co.uk、roblox.com、sberbank.ru、speedtest.net、ladbible.com、ign.com、asos.com 等也不够安全。   稿源:cnBeta,封面源自网络;

Google Chrome 68 正式向所有不安全的 HTTP 网站开炮

在 7 月 24 号发布的 Chrome 68 中,Google 引入了一项重大的变化。当加载非 HTTPS 网站时,该浏览器的处理方式会更加审慎。据悉,只要遇到潜在不安全的站点,Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响,但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法,因为这项老旧的技术未对数据进行加密。   在之前版本的 Chrome 浏览器中,Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”,并在地址栏上凸显一个标记。 然而现在的情况是,Google 突然加快的步伐,彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营,并抛出安全警示。 在官方支持页面上,Google 解释到: 过去几年中,我们一直主张站点采用 HTTPS,以提升其安全性。去年的时候,我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始,随着 Chrome 68 的发布,浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之,从 Chrome 68 开始,这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。   稿源:cnBeta,封面源自网络;

Chrome浏览器加固修复幽灵漏洞:内存占用将多出13%

数据显示,Chrome(Chromium内核)浏览器的全球用户量已经超过了10亿,牢牢占据No.1。 不过,Chrome早年一直背负着一个“槽点”,那就是内存占用量高,谷歌为此还做过针对性的优化。 据外媒报道,谷歌本周宣布Chrome浏览器实现了对Spectre(幽灵)漏洞的修复,这个旁路攻击漏洞来自处理器底层,影响包括Intel、AMD甚至ARM平台的大量芯片。 之所以浏览器也要加固是因为漏洞的执行依赖恶意代码加载到本地,而上网传播是最简单直接的方法。 修复了当然是好事,但谷歌软件工程师Charlie Reis确认,这种修复操作将在大型负载下多占用10~13%的运行内存。对于4GB以下的客户来说,绝非一件好事。 据悉,Windows、Mac包括Chrome OS平台的Chrome都在此次“修复”之列。   稿源:快科技,封面源自网络;

Chrome 浏览器页面冻结 bug 死灰复燃 谨防技术支持诈骗套路重演

就当美国人民欢庆独立日的时候,诈骗者们仍未停下他们的脚步。据 Ars Technica 报道,Google Chrome 浏览器中的一个漏洞,竟然再次被骗子们给利用,以传播给不知情的用户。早在 2 月份的时候,Malwarebytes 就警告称,诈骗者正在利用冻结浏览器、同时试图用虚假的报错信息说服用户“给微软打电话”,以忽悠受害者寻找所谓的“技术支持”。 Chromium Bug 追踪器上的一个页面显示,在最初的报告发布后不久,Google 就已经在 Chrome 65 中修复了这个问题。但现在看来,该漏洞似乎又在 Chrome 67 上重现了。 更糟糕的是,随着 bug 的再生,欺诈者们也再次熟练地耍起了同样的伎俩。下图左侧就是欺诈者通过冻结 Chrome 浏览器标签页伪造的报错信息,而右侧可见系统资源被大量消耗。 对于一位在互联网上征战多年的老鸟来说,显然不太可能被这种低级骗术给撂倒: 但与其它类似的弹出式窗口不同,本案例可反复将文件保存到硬盘上,从而快速让浏览器失去响应,以至于无法看到事情的发生。 不幸中招之后,浏览器会被冻结,且用户无法关闭任何窗口。 如果你碰巧遇到了这种情况 —— 无论是不小心访问了一个被黑客入侵的、或是一个带有恶意广告的网站 —— 请记住都不要惊慌、也不要按照所谓的“错误提示”去操作。 只要你拨打了屏幕上显示的这个号码,就会落入预先设置好的诈骗套路 —— 比如索取你的信用卡信息(正经的机构显然不会如此赤裸裸地操作)。 ● 正确的做法是,如果你是 Windows 用户,请通过 Ctrl-Alt-Del 组合键调出任务管理器,然后强制结束 Chrome 浏览器进程。 ● 如果你是 Mac 用户,请使用强制退出(Force Quit)来关闭失去响应的 Chrome 浏览器。 需要指出的是,尽管当前这一漏洞似乎仅影响 Chrome,但 Firefox、Brave、Opera 等浏览器用户也不该掉以轻心。有趣的是,IE 和 Microsoft Edge 两款浏览器竟然对此免疫。 最后,Google 和 Mozilla 都向 Ars Technica 表示,他们正在对此事展开调查。   稿源:cnBeta,封面源自网络;

谷歌新规:禁止从第三方来源安装Chrome扩展程序

讯 北京时间6月13日中午消息,之前谷歌决定禁止Windows用户从Chrome网上应用店(Web Store)之外的第三方网站直接安装Chrome扩展程序。而根据谷歌的最新规定,从今年夏天开始,所有平台上的用户都不能从官方应用店之外安装Chrome扩展程序。 谷歌指出,在Chrome网上应用店内有说明资料和功能列表,它们能帮助用户做决定,让他们知道是否真的需要安装某个扩展程序。谷歌发现,如果用户是从官方扩展程序入口进入的,安装附加程序之后卸载的机率更低。 对于2018年6月12日(北京时间13日)发布的扩展程序,谷歌禁止使用“内联式安装”(inline installations)功能。从9月12日开始,现有扩展程序也会禁用此功能。如果用户在网络上其它地方点击链接,只会引导到Chrome Web Store,不能从开发者网站或者其它网站直接安装。 2018年12月初,在Chrome 71浏览器中谷歌会完全删除“内联式安装”功能API,到时开发者再也不能使用该选项。   稿源:,稿件以及封面源自网络;

Google Chrome 将从9月开始,默认 HTTPS 页面为安全站点

据外媒 bleepingcomputer 5月17日报道,谷歌正计划停止在地址栏中标记 HTTPS 页面为“安全”站点,换句话说,在没有发现异常的情况下,所有 HTTPS 的站点都会默认为安全,此举将于今年9月份发布的Chrome 69生效。 Chrome安全产品经理Emily Schechter表示,该公司现在可以通过HTTPS实现这一举措,因为Chrome的大部分流量都是通过HTTPS实现的,因此无需再将用户的注意力吸引到“安全”指标。 相反,Chrome将专注于突出显示用户访问不安全的HTTP网站时的情况。这就是为什么Google将把所有的HTTP网站都标记为“不安全”,这项举措从Chrome 68开始,将于7月发布。 此外,Google计划在Chrome 70中改进“不安全”指标,并增加一项动画,只要用户在 HTTP 网站上的表单中输入数据,就会将“不安全”文本变为红色。 这些更新是Google“HTTPS 100%”计划的一部分,最终目的是让加载到 Chrome 中页面都通过 HTTPS 协议。 “我们希望这些变化能够继续为安全使用网页铺平道路,”Schechter说。 “HTTPS比以往更便宜,更容易,并且可以解锁强大的功能 – 所以不要等待迁移到HTTPS!”   稿源:雷锋网,编译:郭佳,封面源自网络;

Google Chrome 66稳定版更新:修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新,最新版本号为v66.0.3359.170,目前已经面向Linux、Mac和Windows三大平台开放,重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞,包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。 目前Google并未对外披露具体有多少用户受到这些漏洞影响,官方日志中写道:“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。” 除了上文提及的安全漏洞之外,Chrome 66.0.3359.170同时还包含了其他大量修复,因此推荐Chrome用户尽快完成升级,避免被黑客有机可乘。 Stable 稳定版 32位 最新版本:66.0.3359.170,文件大小:46.457MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D41B3356256A232D6891CC86C1C616557BD4AE59, SHA256:35BAF449DC70849EEB6B0DF3F933429422527A5844B7F1F3DFAFD5B1EABF2CD1 Stable 稳定版 64位 最新版本:66.0.3359.170,文件大小:46.879MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D49EE37219DF6972C8B98A2233D3C5DA617F17E1 SHA256:8E0F91236CDC5E8A4EEB529551806890E96D745DA451556BEC8DEE6803D268DE   稿源:cnBeta,封面源自网络;

谷歌账户获得新的验证功能,以防止网络钓鱼攻击

据外媒 BGR 报道,在其 G Suite 博客的更新的一篇博文中,谷歌宣布将为谷歌帐户持有者带来一项新的安全功能,这些帐户持有者也碰巧依靠 Chrome 浏览器进行其网页浏览活动。 谷歌希望通过验证用户登录他们控制的谷歌帐户来提高安全性。此举旨在防止任何人悄悄登录可能属于恶意第三方的谷歌帐户。但是,并非所有谷歌用户都会看到这个新界面,因为这专门针对的是第三方登录。谷歌表示,新的安全功能将于 5 月 7 日开始推出。 稿源:freebuf,封面源自网络;

Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击

据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

在 IT 行业,“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下,当受害者访问到某个受影响的网站的时候,其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援,那么动手能力不佳的用户可能就要干瞪眼了。此前,这类攻击通常面向于微软 Windows 操作系统自带的旧款 IE 浏览器。但是现在,研究人员发现 Google Chrome 也会中招了。  据悉,新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件,让浏览器在数秒内就资源耗竭失去响应。 Malwarebytes 分析师 Jerome Segura 表示,该漏洞利用了 Blob 和 msSaveblob 接口(允许将文件保存到计算机本地的功能)。 当用户不小心踩到地雷(陷阱页面)的时候,就会触发大量的下载,让 CPU 和内存占用率瞬间飙升: ● Segura 将这些网页称作 “ 恶意广告 ”,且其能够通过标准的广告拦截器来应对。 ● 此外,如果下载已被触发,用户也可以调出 Windows 任务管理器,然后手动终结浏览器进程。 Segura 指出,虽然 Chrome 有着严格的批量突发下载限制(文件下载间隔时会征求用户许可),但这种攻击的速度实在是太快了,浏览器根本来不及弹窗询问。 我们在 Windows 7 / 10 系统上进行了测试,在弹出对话框之前,浏览器就已经被卡死了。 如上方动图最后一帧所示,当浏览器弹出是否取消下载的提示时,下载就已经完成了。 甚至在你想要 ‘ 抢先 ’ 关闭标签页的时候,浏览器就已经失去响应了。 在此期间,我们没有看到任何提示 ‘ 接受或拒绝 ’ 下载尝试的对话框。 虽然 Windows Defender 即将推出的更新可以移除恐吓型的应用,但目前不清楚该软件是否有能力拦截这类下载攻击。当然,我们也希望 Google Chrome 能尽快推出一个漏洞修复补丁。 稿源:cnBeta,封面源自网络;