Репозиторий NPM прекращает поддержку TLS 1.0 и 1.1
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания GitHub приняла решение прекратить поддержку протоколов TLS 1.0 и 1.1 в репозитории пакетов NPM и на всех сайтах, связанных с пакетным менеджером NPM, включая npmjs.com. Начиная с 4 октября для подключения к репозиторию, в том числе для установки пакетов, потребуется клиент с поддержкой как минимум TLS 1.2. На самом GitHub поддержка TLS 1.0/1.1 была прекращена ещё в феврале 2018 года. В качестве мотива называется забота о безопасности своих сервисов и конфиденциальности данных пользователей. По данным GitHub около 99% запросов к репозиторию NPM уже совершается с использованием TLS 1.2 или 1.3, а Node.js включает поддержку TLS 1.2 c 2013 года (начиная с выпуска 0.10), поэтому изменение затронет лишь незначительную часть пользователей.
Напомним, что протоколы TLS 1.0 и 1.1 официально переведены комитетом IETF (Internet Engineering Task Force) в разряд устаревших технологий. Спецификация TLS 1.0 была опубликована в январе 1999 года. Спустя семь лет было выпущено обновление TLS 1.1 с улучшениями безопасности, связанными с генерацией векторов инициализации и добавочного заполнения. Среди главных проблем TLS 1.0/1.1 упоминается отсутствие поддержки современных шифров (например ECDHE и AEAD) и наличие в спецификации требования по поддержке старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Поддержка устаревших алгоритмов уже приводила к появлению таких атак, как
ROBOT, DROWN, BEAST, Logjam и FREAK. Тем не менее, данные проблемы непосредственно не являлись уязвимостями протокола и закрывались на уровне его реализаций. В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.blog/2021-08-23...)
- OpenNews: Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH
- OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
- OpenNews: Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами
- OpenNews: GitHub успешно завершил сделку по покупке NPM
- OpenNews: Доступен пакетный менеджер NPM 7.0
Похожие новости:
- [Информационная безопасность, Разработка для интернета вещей] Приглашаем на летнюю конференцию KasperskyOS Night
- [Информационная безопасность] Как государство пыталось в HTTPS, но не осилило
- [Информационная безопасность, Криптография, Софт] Wireshark для всех. Лайфхаки на каждый день
- ALPACA - новая техника MITM-атак на HTTPS
- [JavaScript, VueJS, TypeScript] Из Vue 2 на Vue 3 – Migration Helper
- Google представил сервис для наглядного отслеживания зависимостей
- [Высокая производительность, Программирование, Java, Kubernetes] Простое ускорение Java с помощью Quarkus и JHipster (перевод)
- [Программирование] Как я организую свои скрипты NPM (перевод)
- [Информационная безопасность, PostgreSQL, Администрирование баз данных] Обеспечение безопасности базы данных PostgreSQL (перевод)
- [Информационная безопасность, Разработка веб-сайтов, Криптография, Браузеры] IETF официально прекратил поддержку протоколов TLS 1.0 и 1.1
Теги для поиска: #_npm, #_tls
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 01:34
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания GitHub приняла решение прекратить поддержку протоколов TLS 1.0 и 1.1 в репозитории пакетов NPM и на всех сайтах, связанных с пакетным менеджером NPM, включая npmjs.com. Начиная с 4 октября для подключения к репозиторию, в том числе для установки пакетов, потребуется клиент с поддержкой как минимум TLS 1.2. На самом GitHub поддержка TLS 1.0/1.1 была прекращена ещё в феврале 2018 года. В качестве мотива называется забота о безопасности своих сервисов и конфиденциальности данных пользователей. По данным GitHub около 99% запросов к репозиторию NPM уже совершается с использованием TLS 1.2 или 1.3, а Node.js включает поддержку TLS 1.2 c 2013 года (начиная с выпуска 0.10), поэтому изменение затронет лишь незначительную часть пользователей. Напомним, что протоколы TLS 1.0 и 1.1 официально переведены комитетом IETF (Internet Engineering Task Force) в разряд устаревших технологий. Спецификация TLS 1.0 была опубликована в январе 1999 года. Спустя семь лет было выпущено обновление TLS 1.1 с улучшениями безопасности, связанными с генерацией векторов инициализации и добавочного заполнения. Среди главных проблем TLS 1.0/1.1 упоминается отсутствие поддержки современных шифров (например ECDHE и AEAD) и наличие в спецификации требования по поддержке старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Поддержка устаревших алгоритмов уже приводила к появлению таких атак, как ROBOT, DROWN, BEAST, Logjam и FREAK. Тем не менее, данные проблемы непосредственно не являлись уязвимостями протокола и закрывались на уровне его реализаций. В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 01:34
Часовой пояс: UTC + 5