Új titkosítás okozhat problémákat a Chrome és Edge böngészőkben
Fontos újdonságot vezetett be a Google, amely a Chrome böngésző által támogatott új titkosítás bevezetésével jár, de emiatt sok weboldal nem működik zökkenőmentesen. A felhasználók szükség esetén kikapcsolhatják ezt a funkciót.
A Google Chrome és az azonos technológiára épülő Microsoft Edge böngészők 124-es verziójában bevezetett új titkosítási réteg, az X25519Kyber768 mechanizmus miatt több felhasználó is problémákat jelentett. A Bleeping Computer szerint a Google már 2023 augusztusában megkezdte ennek a kvantumszámítógépeknek is ellenálló titkosítási módszernek a tesztelését, és a 124-es verzióban már alapértelmezetten aktiválva van.
A titkosítás erősítése révén a TLS és QUIC protokollok használata során a kapcsolatok gyakorlatilag feltörhetetlenné válnak, ami a felhasználók adatainak védelmét szolgálja. Azonban ez a változás problémákat okozhat bizonyos webhelyek megnyitásakor, illetve szerverekhez és tűzfalakhoz való csatlakozáskor. A hvg hozzáteszi, hogy ez főleg vállalati környezetben okoz fejtörést a rendszergazdák számára, de bizonyos esetekben az egyszerű felhasználók is hibákba futhatnak.
A probléma forrása nem a Chrome böngészőben, hanem a titkosítás visszafejtésében keresendő.
A felhasználók ideiglenesen orvosolhatják a problémát azzal, hogy a Chrome címsorába beírják a chrome://flags/#enable-tls13-kyber címet, és letiltják a TLS 1.3 hybridized Kyber support lehetőséget, majd újraindítják a böngészőt.
Ez a beállítás azonban csak átmeneti megoldás, mivel a későbbiekben nem lesz lehetőség a funkció kikapcsolására. Várhatóan a weboldalak és azokat kiszolgáló infrastruktúrák idővel alkalmazkodni fognak az új titkosítási módszerhez.
A biztonsági kihívások nem csak a böngészők titkosítási módszereiben rejlenek. A GitHub fejlesztői platformon felfedezett sérülékenység is aggodalomra ad okot, hiszen a platformon készült nyílt forráskódú szoftverek számos felhasználó gépén kiköthetnek. A McAfee biztonsági kutatói által azonosított hiba a GitHub megjegyzésfájl-feltöltő rendszerében lehetővé teszi rosszindulatú programok terjesztését. A rendszer automatikusan generált letöltési hivatkozásai megbízhatónak tűnhetnek, mivel tartalmazzák az adattár nevét és tulajdonosát, így a potenciális áldozatok könnyen becsaphatók. A GitHub eltávolított néhány rosszindulatú feltöltést, de a biztonsági rés még nem került javításra.
