来自 DDOS 2021-04-30 06:08 的文章

ddos盾_神盾局特工百度云_3天试用

ddos盾_神盾局特工百度云_3天试用

一组被称为"EFAIL"的漏洞会影响PGP和S/MIME等加密标准,并可能泄露过去发送的加密电子邮件的明文。一组欧洲研究人员和教授周日披露了PGP和S/MIME(用于发送端到端加密电子邮件的互联网标准)中的一系列漏洞,理论上可以用来解密过去。那里没有修补程序,甚至没有可靠的漏洞修补程序;研究人员正在鼓励用户禁用标准,如果他们使用这些标准进行加密电子邮件。那个研究,被称为"EFAIL,《华尔街日报》定于周二出版,cf防御ddos,但与1月份的危机和幽灵的脆弱性类似,围绕禁运的炒作太多,难以持续。这促使研究人员在星期一发表了他们论文的全部细节,"Efail:Breaking S/MIME and OpenPGP Email Encryption using exfiltering Channels"(.PDF)早上好。我们'将于2018-05-15 07:00 UTC发布PGP/GPG和S/MIME电子邮件加密中的关键漏洞。他们可能会泄露加密电子邮件的明文,包括过去发送的加密电子邮件。#efail 1/4-Sebastian Schinzel(@seecurity)2018年5月14日由于我们的禁运被打破,以下是efail攻击的全部细节。https://t.co/i7xAFwJ3WX-Sebastian Schinzel(@seecurity)5月14日,这项研究的基础来自电子邮件客户如何滥用HTML电子邮件中的活动内容,如外部加载的图像或样式。要利用这些漏洞,攻击者首先需要通过窃听网络或泄露电子邮件帐户或服务器。从在这种情况下,攻击者必须通过添加嵌入的修改过的PGP或S/MIME密码文本和自定义HTML来更改电子邮件,然后将其发送回受害者。接收者反过来会解密它,加载外部内容,并触发exfiltering,这是两种方法中的一种方法:第一种利用电子邮件软件(苹果邮件、iOS邮件和Mozilla Thunderbird等)将解密后的邮件显示为未加密邮件时的优势。客户端的HTML解析器将该消息过滤到服务器(攻击者)控制装置第二个更复杂,它依赖于使用密码块链(CBC)(在S/MIME中)和密码反馈模式(Cipher Feedback Mode)或CFB(in-OpenPGP)小工具将明文片段注入电子邮件中,以便在解密后过滤数据。什么是电子邮件加密?定义、最佳实践和更多信息现在请阅读,著名密码学家、约翰霍普金斯信息安全研究所计算机科学助理教授马修•格林(Matthew Green)指出,攻击发生在"糟糕的加密"和邮件客户端开发人员的"马虎"之间。特别是,他警告说,如果攻击者能够访问存储的电子邮件。那个真正的新闻可能是关于S/MIME的,这实际上是在公司电子邮件设置中使用的。攻击和修改存储在服务器上的加密电子邮件实际上可能会发生,所以这是一件大事。4/-2018年5月14日,《GNU隐私保护》(GNU Privacy Guard,又称GPG)的作者沃纳·科赫(Werner Koch)周一驳斥了这项研究,称之为"夸大其词","这篇论文的主题是,将HTML作为后台通道,为修改后的加密邮件创建甲骨文。众所周知,HTML邮件,尤其是外部链接,如

ddos盾_神盾局特工百度云_3天试用

是邪恶的,有两种方法可以减轻这种攻击-不要使用HTML邮件。或者,如果你真的需要读它们,使用一个合适的MIME解析器,禁止任何外部链接的访问。-使用经过身份验证的加密,"Koch继续,ccddos完美防御,罗伯特J、 Hansen,一位神秘邮件开发者和GnuPG志愿者代表标准报周一上午发表了一份声明,汉森写道:"如果你运行的是一个古老的GnuPG版本(1.0系列;目前是2.2版本),或者你的电子邮件插件不能正确处理GnuPG的警告,你可能会受到攻击,如果你当时使用的是2000年前的GnuPG版本,和/或电子邮件插件未能正确处理警告。1。这篇论文的名字有误。这不是对OpenPGP的攻击。这是对那些无视GnuPG警告并在收到警告后做傻事的坏邮件客户端的攻击。此攻击针对有缺陷的电子邮件客户端。正确使用MDC可以完全防止这种攻击。GnuPG从2000年夏天起就得到了MDC的支持。作者列出了一个有缺陷的电子邮件客户端列表。有必要检查一下他们的电子邮件客户列表(在最后找到),看看你的客户是否容易受到攻击。但是要小心,因为它可能不准确——例如,ddos防御安全解决方案,Mailpile说它们不易受攻击,但论文指出Mailpile有一定的易感性。作者通过对有缺陷的电子邮件客户端进行分类,为社区做了一件好事。我们很感激他们。不过,我们真希望这件事能少一些炒作。很多人都很害怕,但很少有人害怕推特。那里当涉及到缺陷时,是硬币两面的争论。正如Hansen/GnuPG指出的那样,用户必须通过GnuPG的MDC警告才能被利用。一些专家周一质疑电子邮件客户端是否真的应该把MDC失败当作警告,而不是错误。没有如果你的API在2018年被解密,你就不要抱怨你的密码了错误。在大多数人会说"对不起,我们是一个遗留系统,当时没有人知道得更好,是时候迁移了"—Filippo Valsorda(@FiloSottile)2018年5月14日电子邮件客户端应该检查"警告"消息并中止的想法就像他们应该为curl提供特殊的标志来让它检查一样证书。没有,默认情况下,gpg应该做正确的事情。它只有一个工作!-Thomas H.Ptacek(@tqbf)2018年5月14日MDC,或修改检测码,是2000年引入的一个加密哈希函数,旨在证明消息的正直。为了这篇论文的作者,来自德国明斯特应用科学大学和波鸿鲁尔大学的学者,以及比利时的库鲁文,呼吁PGP和S/MIME用户禁用电子邮件客户端中的加密或禁用HTML呈现以阻止活动内容滥用屏幕摄于2018年5月14日2时28分17秒png.PM第二种选择,DDOS防御1001DDOS防御,特别是对安全意识更强的人来说,可能是一个特别好的选择。正如国际特赦组织(Amnesty International)高级技术专家、公民实验室(Citizen Lab)顾问克劳迪奥·瓜尼埃里(Claudio Guarnieri)指出的那样,它可以让用户不那么容易受到网络钓鱼的影响攻击。不管怎样对于这个问题,在你的电子邮件客户端中禁用HTML呈现是很好的。暴露于此类攻击的风险更小,意外加载可能泄漏信息的远程资源的风险更小,更容易监视潜在的网络钓鱼链接。-nex(@troubler)2018年5月14日电子前沿基金会(EFF)回应了研究人员的观点,并鼓励用户立即禁用和/或卸载自动解密PGP加密电子邮件的工具,如Thunderbird的Enigmail、Apple Mail的GPGTools和Outlook.ProtonMail,一种端到端加密电子邮件服务,对EFF的警告表示不满,ddos云防御平台,称其"言过其实,不成比例,而且很可能是在没有充分理解问题的情况下发布的",并补充说,披露这些缺陷的方式更是雪上加霜受伤。伊法是不负责任披露的一个典型例子。向@EFF和主流媒体大肆宣传这个故事,并发布一个不负责任的建议(禁用PGP),而忽略了许多(Enigmail等)已经被修补的事实。ProtonMail(@protomail)2018年5月14日ProtonMail则在周一表示,它没有受到缺陷的影响。端到端加密电子邮件软件Tutanota和Canary Mail也承认他们的服务没有受到影响。Hansen指出,Enigmail在几个月前就解决了这个问题,"如果你使用的是最近的GnuPG和Enigmail 2.0或更高版本,你应该没问题。如果你没有,就把这当作一个客观的教训,告诉你升级你的安全关键软件的重要性推特。钥匙图片来自Ozzy Delaney的Flickr photostream,Creative CommonTags:安全新闻,加密