Jeg giver ikke meget for den undersøgelse. Ved at scanne hele IPv4 får de en masse selvsignerede certifikater, som er sat op per default på services som aldrig har været tiltænkt at skulle tilgås over https/tls. De er ret ligegyldige. Browserproducenterne har længe forbudt certifikatautoriteterne...

Ifølge den refererede mail validerer GoDaddy ejerskab af et domænenavn fx "example.com" ved at udstede en kode fx "12345678", og bede brugeren oprette en side på adressen "http://example.com/12345678.html" som indeholder koden "12345678". Problemet er så at...

"Udstedte 8.850 falske certifikater" -> nej, ud af alle de certifikater de har udstedt, var der 8850, som GoDaddy ikke kunne re-verificere om var falske eller ej, fordi disse kunder havde fjernet verifikationskoden fra deres domæner efterfølgende. "I praksis betød det, at...

CPR tilbyder at man kan abonnere på adressematch, så man kan få oplysninger om adresseændringer og dødsfald, uden at man behøver kende kundens CPR-nummer. Man skal blot kende kundens navn og adresse. Man kan få et mere præcist match, hvis man også kender fødselsdatoen. Det er ikke så nemt som DAW...

Ifølge GlobalSigns incident report var problemet at deres OCSP software havde en bug, så da de tilbagekaldte et certifikat, genererede softwaren tilbagekaldelser for alle certifikater der havde en række attributter til fælles med det tilbagekaldte certifikat. Ville man som GlogalSign-kunde ikke ...

HTML blev lavet en gang man ikke kendte til alle disse sikkerheds-issues, og da det skal være bagudkompatibelt, har man lukket de fleste af sikkerhedshullerne med opt-ins. Husker du at sætte rel="noopener" på alle dine eksterne links, at sætte Content-Security-Policy, X-Content-Type-...

Dejlig nyhed, men jeg synes artiklen misser den mest interessante pointe, som man kan læse, hvis man klikker sig videre til kilden. Mange sites virker med og uden Flash, hvor man får Flash-versionen, hvis sitet detekterer at man har Flash. Det betyder at hvis man har Flash click to play eller en ...

Hvis man downloader og kører noget kode med fuld brugeradgang, så er det alment kendt at denne kode kan gøre noget du ikke vil have og samtidigt obfuskeres så dit antivirusprogram ikke kan genkende det. At påstå at Noscript, Greasemonkey og Firebug er "sårbare" fordi andet kode kan...

Ja, CA-systemet er sygt, men vi har stadig ikke et bedre alternativ. TOFU (Trust On First Use) som artiklen foreslår dur ikke i praksis. Det hører til Blame The Victim-kategorien. Langt de fleste ville ikke ane hvad de skulle svare på spørgsmål om certifikater, og dem som gør vil ikke have tid t...

Den sidste sætning er forkert. PerimeterX var ifølge deres egen beskrivelse i stand til at få udvidede privilegier, men ikke administratorprivilegier. De var heller ikke i stand til at se listen over alvorlige sikkerhedssårbarheder, men påpeger, at det ville have været muligt, hvis den pågældende...

Jeg har meget svært ved at forestille mig at Java (eller ethvert andet traditionelt plugin) kan implementeres på PPAPI. PPAPI var oprindeligt tænkt som en erstatning til NPAPI, men endte med at blive noget helt andet (en del af NaCl). Det bidrager til forvirringen at Chrome implementerer Flash i ...

"Derfor har den amerikanske regering bedt Icann om at udarbejde en plan for, hvordan kontrollen skal overgå til et udvalg af private virksomheder samt repræsentanter fra forskellige regeringer." Er det ikke en fejloversættelse? Som jeg læser det vil de have kontrollen over DNS til at...

Svjv er det pepperAPI der bruges under chrome åbent dokumenteret ie det er mest fordi firefox kun implementere, chromium er rapportertet til at virke med pepper-flash, så der er opensource kode at læne sig op ad. ved ikke hvordan firefox windows snakker til flash. Mozilla's attitude har lidt vær...

Ok, jeg kan godt se det var upræcist hvad jeg skrev. Browseren kan stadig foretage mange optimeringer, men der er nogen den ikke kan bruge, når man bruger direct eval eller with. Her er en simpel kode med en memory leak. Men den er noget større med direct eval i forhold til indirect eval (testet ...

Jeg synes faktisk ikke dit eksempel er så interessant. Eval er noget skidt (både funktionen og operatoren) og det eneste man skal vide om den er at man aldrig skal bruge den, og hvis man ser noget kode der bruger den skal man skrive den om. Hvis man skal eksekvere en tekststreng som JavaScript, k...

@Karsten Hansen: Hvis du læser nærmere på den kilde du nævner, vil du se at din liste er opgjort efter antallet af offentliggjorte sårbarheder, hvilket er et rimeligt ubrugeligt tal. Tallene i artiklen omhandler andelen af brugere, der har en gammel version installeret med en af disse sårbarhed...

Samtidig ændrer selskabet på Javas sikkerhedsindstillinger, så de nu sættes til 'High' i stedet for 'Medium' som standard. Det er endnu en hovedpine for de it-kriminelle, fordi brugeren dermed bliver tvunget til at godkende usignerede Java-appletter, der kører i browseren. Wow. Det kan diskutere...

Det er rigtigt at Mozilla har haft projekter før som Prism til at køre webapplikationer i deres eget vindue uden browser chrome og med genveje i operativsystemet. Men Mozilla har aldrig haft en tilhørende Marketplace, hvor man kan finde applikationerne, rate dem og betale for dem. Marketplace la...

Mozilla er ved at lave Firefox til Metro, men det er kun til x86 (+64) maskiner. Den kan ikke køre på en ARM Metro. Browseren får lov integrere med Metro, selvom det er en traditionel desktop-applikation. Men på ARM har man så vidt jeg har forstået slet ikke adgang til desktop-udgaven af Windows....

Er det ikke lidt misvisende at kalde det spil "i browseren"? I mine ører dækker begrebet over noget der virker eller vil komme til at virke i flere forskellige browsere. Men der er tale om en Google-specifik teknologi (Native Client), der kun virker i Google Chrome, og ikke har nogen...