J

ak możemy sobie przypomnieć atak typu TicketTrick II polega na wykorzystaniu źle skonfigurowanych grup Google. W celu praktycznego przykładu posłużę się jednym ze zgłoszeń, które powędrowało do zespołu Chromium. Żadne wielkie tajemnice nie zostały poznane, ani żadne wielkie restrykcje nie zostały złamane ponieważ:

To join Chromium’s Slack, the organization or person needs to be listed in Chromium’s AUTHOR file. If you have ever contributed a change or belong to one of the active contributor organizations you will be there. Anyone with a @chromium.org address can join directly. Others will have to follow an invite link that you get by mailing a request to chromium-slack-invites (at) chromium.org.

[ czytaj całość… ]

P

rzeglądarki Chrome oraz Chromium wraz z wydaniem wersji 51 przestały wspierać rozszerzenie protokołu TLS – NPN, który pozwalał na negocjację połączeń za pomocą protokołu SPDY i HTTP/2 z klientami. Mechanizm ten został zastąpiony ALPN. Dobrą decyzją jest przełączenie się z NPN na ALPN, ponieważ wiąże się z tym więcej korzyści niż strat, ale całkowite porzucenie NPN już decyzją dobrą nie jest.
[ czytaj całość… ]