最新文章
Top News
苹果 Safari 全屏模式曝中间人攻击漏洞
HackerNews 编译,转载请注明出处: 安全研究人员披露苹果Safari浏览器存在设计缺陷,攻击者可利用全屏模式实施“浏览器中间人攻击”(BitM)窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时,Safari缺乏明确警示机制,使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司SquareX指出,攻击者通过滥用全屏API实现三重欺骗:
利用noVNC等开源工具在受害者会话层叠加远程控制浏览器
通过赞助广告/社交媒体推送伪造目标服务登录页链接
当用户点击登录按钮时激活隐藏的BitM窗口
典型案例显示,...
Chrome 将移除 Public Key Pinning (PKP)支持
Google 宣布了从 Chromium/Chrome 中移除 Public Key Pinning (PKP)支持的计划。PKP 是防止中间人攻击和恶意 CA 的一种证书核查机制。Google 工程师给出的理由 PKP 普及率低和存在技术挑战。 Google 计划在明年 5 月 29 日发布 Chrome 67 正式版时移除对 PKP 的支持。这一计划尚未确定下来,用户仍然可以递交反对意见。根据调查,在 2016 年 3 月所有 HTTPS 网站部署 PKP 的比率为 0.09%,到 2017 年 8 月,部署率只提高到 0.4%。 稿源:solidot 奇客,封面源自网络