Скринкастинг в Chrome
Скринкастинг (демонстрація екрану, скриншаринг) вже працює в браузері Google Chrome і дозволяє захоплювати як вікно самого браузера, так і вікно будь-якого іншого додатка. Наприклад, можна захопити Firefox, запущений у сусідньому вікні.

Все б чудово, але є проблема з безпекою. У браузері Chrome скринкастинг вимкнений.

Для його включення необхідно скористатися Chrome Desktop Capture API і ми покажемо в цій статті як це зробити.

Розширення для скринкастинга
Щоб скринкастинг заробив, юзер повинен встановити розширення (Chrome Extension), яке створене спеціально для вашого сайту (домену).
Читати далі →

Google опублікувала початковий код Chrome для iOS

image

Компанія Google опублікувала початковий код свого браузера Google Chrome для iOS, повідомляється в офіційному блозі Chromium.

«Історично склалося, що код Google Chrome для iOS був відокремлений від іншої частини проекту Chromium з-за додаткової складності в реалізації платформи. Після декількох років ретельного рефакторінгу, весь код був возз'єднаний з проектом Chrome і переміщений Open source-репозиторій», — йдеться у блозі.

Читати далі →

Обережно: HSTS

Про HSTS на Хабре вже писали, цей механізм включений в генераторі конфіги для веб-серверів від Mozilla. Написати цей пост я вирішив за один день зіткнувшись з недоступність відразу двох великих сайтів з-за HSTS.

TL;DR: Ретельно перевіряйте роботу сайту за TLS перед включенням HSTS, особливо якщо це великий портал з купою субдоменів.

Що таке HSTS?
HSTS (HTTP Strict Transport Security) — це механізм захисту від даунгрейд-атак на TLS, який вказує браузеру завжди використовувати TLS для сайтів з відповідними політиками. Стандарт описаний в RFC6797, а політики бувають двох видів:

Динамічні

Політика застосовується з HTTP-заголовка Strict-Transport-Security при першому заході на сайт HTTPS, в ньому вказано термін дії і придатність до субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;

Статичні

Статичні політики захардкожены в браузер і для деяких сайтів містить прив'язку до вищестоящому CA, выпустевшему сертифікат (наприклад: google.com, paypal.com або torproject.org). Причому вона може діяти тільки коли сайт відкритий через TLS, дозволяючи незахищене з'єднання, але блокуючи MitM із заміною сертифіката.

Список Chromium використовують всі популярні браузер (Firefox, Safari, IE 11+Edge) і будь-який бажаючий може відправити заявку на додавання після відповідної установки. Веб-сервер також повинен віддавати заголовок з терміном дії від двох років і ключовим словом preload в кінці:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload


Читати далі →

Браузери і app specific security mitigation. Частина 3. Google Chrome

image
Ми продовжуємо цикл статей про механізми захисту браузерів від експлойтів:
Давайте заглянемо під капот браузера Chrome і з'ясуємо, що є в його анти-експлоїт арсеналі.

Читати далі →

Обіцянки Google почали сбыватся — тепер сайти https позначаються як надійні



Пару місяців тому Google вирішила перевести весь інтернет на HTTPS, стимулюючи користувачів браузера Chrome відвідувати тільки HTTPS сайтів.

Зараз почався перший етап — відмітка сайтів з https як безпечні.

Що там буде далі?

Читати далі →

Security Week 49: Google фаззит опенсорс, Android-троян викрадає облікові записи Microsoft лагодить старий баг

1 грудня команда фахівців з безпеки Google анонсувала нову програму OSS-Fuzz в рамках якої планує виділити ресурси на безперервний фаззинг з відкритим вихідним кодом (новость посада в блозі Google Security). Фаззинг — це метод автоматизованого тестування програм, ідея якого була сформульована ще в кінці 80-х (PDF). З ростом продуктивності комп'ютерів досить прямолінійний процес згодовування софту довільних даних у пошуку вразливостей стає все актуальнішою. Та й взагалі, в світі де комп'ютерами все частіше керують інші комп'ютери, це годна тема, вже включена, наприклад, методику Secure Development Lifecycle у Microsoft.

Пояснюючи успішність підходу саме по відношенню до вільного, Google призводять приклад уразливості в бібліотеці Freetype, виявленої фаззером OSS-Fuzz. Freetype встановлена на мільярди пристроїв, і тому досліджувати такий софт важливо. Серйозні уразливості в опенсорсе начебто Heartbleed показали, що сама можливість незалежного аудиту не дорівнює підвищеної безпеки. У людей просто не вистачає рук проаналізувати все, тому на сцену виходять роботи. Дивно, що в Google нічого не розповідають про фаззинг Android, хоча дослідники з інших компаній таки цим занимаются.

Насправді головна користь проекту полягає в тому, що Google запрошує сторонніх дослідників і мейнтейнерів відкритого софта, по суті надаючи їм обчислювальні ресурси в рамках проекту. У своїх враження дослідник і розробник Алекс Гейнор пише, що менше ніж за день його тестовий код, доданий у OSS-Fuzz, обробив 17 трильйонів тестових кейсів, на що в домашніх умовах у нього пішов би місяць.

Читати далі →

Гаряча перезавантаження Chrome-розширення

На днях виникло бажання написати простеньку розширення для Google Chrome. Зіткнувся з такою проблемою, що після змін в коді розширення браузер не перезавантажує його автоматично. Це дуже сильно ускладнює розробку, т. к. після кожного Cmd-S у редакторі, доводиться натискати "Reload" у списку розширень, а потім ще й рефрешить сторінку, щоб перезапустити контент-скрипти.
Після нетривалих пошуків з'ясувалося, що Chrome надає всі необхідні API для того, щоб реалізувати подібну функціональність для свого розширення самостійно.
Готове вбудовується рішення лежить на github.com/xpl/crx-hotreload, а в цій статті я розповім, як воно реалізовано.
Читати далі →

Pornhub обходить блокувальники реклами з допомогою вебсокетов



Інженер з компанії BugReplay знайшов відмінний спосіб продемонструвати, як працює його сервіс екрана з записом мережевого трафіку і демонстрацією помилок, в тому числі WebSockets і JavaScript. Він записав скрінкасти завантаження Pornhub з відображенням лода трафіку, який синхронізований з відео. Так от, на цій демонстрації відмінно видно, яким чином Pornhub обходить блокувальники реклами і пропихає рекламу з допомогою вебсокетов.

Читати далі →

Security Week 41: тиждень патчів, 12-річна уразливість в sshd повертається, StrongPity APT

минулого тижня в Денвері пройшла 26-я за рахунком конференція VB, організована авторитетним порталом-довгожителем Virus Bulletin. Конференція з тематики схожа з BlackHat, але в ній значно менше шоу і куди більше технічних деталей. Експерти «Лабораторії» виступали на конференції з двома доповідями. З одним, про помилкові докази приналежності шкідливого коду і цільових атак, пропоную ознайомитися самостійно, а про інший розповім докладніше.

Атака StrongPity (новина, исследование) цікава не стільки своїми можливостями по крадіжці даних (тут взагалі важко чим-небудь здивувати), скільки правильним таргетуванням жертв. Організатори атаки створили кілька веб-сторінок, мимикрирующих під офіційні сайти популярного софту, конкретно WinRAR і TrueCrypt. Посилання на ці веб-сайти також вдалося протягнути на пару софтових агрегаторів.

На підроблені сайти поширювалися підготовлені дистрибутиви вищевказаного софта: вони працювали, але мали додаткову функціональність, спрямовану на збір і крадіжку даних. Крім того, шкідливі компоненти дозволяли більш детально профілювати жертв. Був передбачений пошук спеціалізованого админского софта, для шифрування або для віддаленого доступу: putty, winscp, пара клієнтів Remote Desktop і так далі. Трактувати таку поведінку можна по-різному. По-перше, очевидно, велися прицільні спроби атакувати системних адміністраторів, апріорі мають розширені права в мережі жертви. По-друге, таргетування жертв, використовують софт для шифрування даних дозволяє припустити прицільний пошук тих, кому є що приховувати.

Читати далі →