https://www.opennet.ru/openforum/vsluhforumID3/118152.html Исследователи из Бостонского университета разработали (https://www.usenix.org/conference/woot19/presentation/tiwari) метод атаки<br>(CVE-2019-11728), позволяющий (https://www.usenix.org/system/files/woot19-paper_tiwari.pdf) осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или на текущей системе (localhost). Атака может быть совершена при открытии в браузере специально оформленной страницы. Предложенная техника основана на применении HTTP-заголовка Alt-Svc (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Alt-Svc) (HTTP Alternate Services, RFC-7838 (https://datatracker.ietf.org/doc/rfc7838/)). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave.<br><br><br>Заголовок Alt-Svc позволяет серверу определить альтернативный способ обращения к сайту и проинструктировать браузер о необходимости перенаравить запрос на новый хост, например, для балансировки нагрузки. В том ч https://www.opennet.ru/openforum/vsluhforumID3/118152.html#39 Sun, 18 Aug 2019 20:52:01 GMT &gt; омеднённого урана<br><br>Что мы будем делать сегодня?<br>Мы будем обмазывать уран медом!<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#38 Fri, 16 Aug 2019 04:42:46 GMT QUIC<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#37 Thu, 15 Aug 2019 13:09:48 GMT https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/<br><br>В актуальном Firefox 68 уже исправлено<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#36 Thu, 15 Aug 2019 07:25:09 GMT не понял, где посмотреть - разьве этих трех макак уже в зоопарк сдали?<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#35 Thu, 15 Aug 2019 07:23:06 GMT как раз с яндексом и али все в пределах допустимого - и хосты там, если присмотришься, вовсе не одни и те же, и дальше ограничений на CA можно не лимитировать (это кого надо CA) <br><br>А вот все остальное - с летшиткриптой, которая каждый день разная - увы, да.<br><br>Все, кончился и этот способ хоть как-то держать ситуацию под твоим, а не дядиным, контролем.<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#34 Thu, 15 Aug 2019 06:47:32 GMT И чего ты добьешся этим? Только того что "возможно" вредоносный софт будет на лету генерить новые сертификаты при каждой новой сессии с ресурсами.<br><br>Поставь себе плагин Certificate Patrol и полазай по яндексу или алиэкспрессу. Заколебешся принимать новые сертификаты для одних и тех же хостов, выданные разными СА, с разными сроками действия.<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#33 Thu, 15 Aug 2019 05:00:21 GMT интересно когда-нибудь браузеры будут по-умолчанию блокировать левыми CA? Ну например проверить несколько ресурсов (тот же амазон и гугл) и если они подписаны одним CA - выдавать "предупреждение" и ничего не открывать? Например, установленные в систему софтом, возможно, вредоносным. Конечно, это больше относится к оффтопику (Windows), но тем не менее.. В Firefox хоть есть свое хранилище, хромиум и основанное на нем использует системное. <br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#32 Thu, 15 Aug 2019 04:18:18 GMT HTTP Alternate server<br>HTTP Alternate downloader<br>HTTP Alternate trojan<br> https://www.opennet.ru/openforum/vsluhforumID3/118152.html#31 Wed, 14 Aug 2019 23:11:55 GMT &gt; Кстати в шапочке из фольги тоже нет такой уязвимости<br><br>Хаха, шапочка из фольги работает только против инопланетян,<br>для всего остального должна быть другая шапочка - <br>из 15мм омеднённого урана, с кевларовой подкладкой и алмазным покрытием!<br><br>В общем, не слушайте его, он тролль!<br>