Mark Vogelsberger 2024. október 31-i írása a Linux Magazine online-ban:
A Firefox, Firefox ESR és Thunderbird felhasználóknak szükséges telepíteniük a legújabb frissítéseket, hogy megvédjék eszközeiket a biztonsági kockázatoktól. A Mozilla biztonsági jelentése szerint a támadók egyébként kihasználhatnának különféle sebezhetőségeket, és legrosszabb esetben kártevőket juttathatnának a rendszerbe.
Ha engedélyezve vannak a kisegítő lehetőségek, ez potenciálisan oda vezethet, hogy a támadók ismeretlen technikát alkalmaznak az összeomlások kiváltására (CVE-2024-10459, nagy kockázat). Ezenkívül rosszindulatú kód támadások is lehetségesek (CVE-2024-10467, közepes kockázatú). A Mozilla fejlesztői kijavították a biztonsági réseket a Firefox 132, Firefox ESR 115.17, Firefox ESR 128.4, Thunderbird 128.4 és Thunderbird 132 jelenlegi verzióiban. Az érintett operációs rendszerekkel kapcsolatos információkat nem hozták nyilvánosságra, és továbbra sem világos, hogy pontosan hogyan fordulhatnak elő támadások, illetve hogy rögzítettek-e már a támadásokat.
Megjelent a Full Circle Magazine 211. száma
Aki nem ismerné, a Full Circle Magazine havonta megjelenő linuxos kiadvány. Noha kifejezetten az Ubuntu-családra van kihegyezve, de a parancsok és alkalmazások kezelését ismertető sorozatai, valamint a nagyon részletes linuxos hírösszefoglalója miatt mindenki számára érdekes lehet.
Annak idején volt egy magyar fordítói csapat, akik a teljes magazint lefordították, de sajnos abbamaradt a munkájuk. Kár érte.
Az e havi számban a szokásos dolgok mellett bemutatja a Beaver Notes-t, indul egy új sorozat az LXD-ről, bemutatja az Ubuntu 24.10-et, folyatódik az Inscape és a Latex használatával foglalkozó sorozat.
Érdemes olvasgatni!
Megjelent a PCLinuxOS Magazine 2024. decemberi száma
A tartalomból:
* a szerkesztői gárda karácsoonyi ajándékötletei;
* Typst helyi telepítése PCLinuxOS alá;
* Inkscape: megjelent az 1.4-es verzió - bemutató;
* Tip Top Tippek: ékezetes karakterek használata Plasma/Qt alatt - új megközelítés;
* mindenféle rövid hírek
és egyebek.
A szokásos karácsonyi szám ajándéköteltekkel, megértésükhöz nem kell angolul tudni. A TTT-cikk a Plasma egy érdekes fejlesztési irányáról "rántja le a leplet". Az ékezetes karakterek használata számunkra nem különösen újdonság, vagy okoz nehézséget, de az angol billentyűzet mellett valószínűleg nem annyira egyszerű. Ezen segít a Plasma/Qt új fejlesztése, ami a mobil telefonokon ls tableteken már megszokott módon teszi elérhetővé az ékezetes billentyűket.
Jó szórakozást!
Új jelszóválasztási elvárások
Image by Gerd Altmann from Pixabay
A PCLinuxOS Magazine novemberi számának egyik cikke beszámol arról, hogy a NIST (USA Nemzeti Szabványügyi és Technológiai Intézet) új ajánlásokat adott ki a jelszavak készítésére és használatára vonatkozóan. A NIST ajánlásai az USA kormány kiberbiztonsági ajánlásainak minősülnek. Noha a szervezetnek a végrehajtatásra nincsenek jogosítványai, az ajánlásait mindig megfogadják.
A jelszóképzéssel és -használattal kapcsolatos ajánlásoknak két kategóriája van, a kötelezően betartandó (SHALL, SHALL NOT) és az erősen ajánlott (SHOULD, SHOULD NOT).
Ajánlások:
3.1.1.1: Jelszavas azonosítás
A jelszót vagy az érintett választja, vagy a biztonsági tanúsítványszolgáltató generálja. Ha az utóbbi nem fogadja el a felhasználó jelszavát, mert az a szokásosan használt jelszavak jegyzékében megtalálható, kitalálható, vagy ismert, akkor a felhasználó köteles (SHALL) más jelszót választani. A jelszó összetételére tilos (SHALL NOT) más feltételeket támasztani.
3.1.1.2: Jelszóhitelesítés
A jelszavak összeállításával kapcsolatban kilenc alapvető elvárást fogalmaztak meg:
- a jelszó minimum nyolc, de lehetőség szerint tizenöt karaktert tartalmazzon;
- a hitelesítők és tanúsítványszolgáltatók számára erősen ajánlott (SHOULD), hogy tegyék lehetővé legfeljebb 64 karakter hosszúságú jelszavak használatát;
- a jelszavakban az összes ASCII nyomtató karakter, közötte a szóköz használatát lehetővé kell tenni;
- erősen ajánlott az Unicode karakterek elfogadása, ahol a jelszó hosszának vizsgálatakor minden egyes Unicode karaktert kötelező önálló karakterként értelmezni;
- a jelszavak összeállításánál tilos (SHALL NOT) további elvárást megfogalmazni, ú.m. kis- és nagybetűk, számok és szimbólumok stb. kötelező használata. Bebizonyosodott, hogy négy, vagy öt véletlenszerűen választott szó használata legalább annyira biztonságos, miközben jóval könnyebben megjegyezhető;
- tilos (SHALL NOT) a jelszavak időszakonkénti lecserélését követelni, hacsak nincs bizonyíték a felhasználó jelszavának nyilvánosságra kerülésére;
- a hitelesítők és a biztonsági tanúsítványszolgáltatók ne engedélyezzék – tiltsák meg – jelszóemlékeztető tárolását nem ellenőrzött igénylők által elérhető helyen;
- a felhasználóktól tilos ismeretalapú azonosításkérővel pl. „Mi volt az első háziállatod neve?”, vagy biztonsági kérdéssel kérni a jelszót megadásakor;
- a hitelesítők kötelesek a teljes bevitt jelszót ellenőrizni (azaz nem lehet levágni)
A követelményeket további ajánlások egészítik ki.
Unicode karakterek esetén ajánlott NFKC, vagy NFKD normalizáció alkalmazása – akit érdekel, nézzen utána.
Jelszóválasztásnál (első, vagy változtatás esetén) az ellenőrzés a teljes jelszóra terjedjen ki.
A jelszó ellenőrzésekor használt lista legyen elegendően nagy méretű, hogy brute force jelszótörési kísérlet esetén ne érje meg tovább próbálkozni.
A hitelesítők adjanak támpontot a felhasználóknak erős jelszót választani.
A hitelesítők kötelesek limitálni a lehetséges belépési kísérletek számát.
A hitelesítők kötelesek lehetővé tenni jelszókezelő használatát és erősen javasolt „beillesztés” lehetőségét biztosítani. A felhasználók szívesebben választanak erősebb jelszavat, ha jelszókezelőt használhatnak.
A felhasználók támogatása érdekében lehetővé kell tenni, hogy lássák a beírt jelszót, ha megfelelő környezetben vannak, illetve rövid ideig felvillantani a karaktert a beírás közben.
A hitelesítők és tanúsítványszolgáltatók elfogadott titkosítást és hitelesített, védett csatornát kötelesek használni a jelszó bekérésekor.
A hitelesítők kötelesek a jelszavakat külső támadás ellen védett formában tárolni. A jelszavakhoz véletlenszerű karaktereket kell adni a titkosítás előtt a nehezebb feltörés érdekében. (Salt and hash) Jóváhagyott titkosítási eljárásként a legfrissebb [SP800-132], vagy a NIST jelszótitkosítási iránymutatásai alkalmazandóak.
A hozzáadott karaktercsoport legalább 32 bites kell legyen és igyekezni kell a tárolt hash-ek egyediségre. (Itt még vannak további részletek a hitelesítők számára.)
Mivel a téma csak mint felhasználót érint, így a részletesebb értelmezéstől eltekintenék. Vegyétek ezt annak, ami -- figyelemfelhívás.
Megjelent a PCLinuxOS Magazine 2024. novemberi száma
A tartalomból:
* helyreállították a PCLinuxOS Wiki tudásbázist!;
* fedezd fel a Typst-et;
* GIMP oktató: duplán exponált kép készítése;
* jelszókészítés - új alapelvek és elváráasok;
* TTT: biztonsági másolat készítése a /home könyvtárról;
* mindenféle rövid hírek
és egyebek.
A Typst nyomdai szedő szoftver leírása igen hosszúra sikeredett, így annak fordítása sem lesz meg túl hamar, ahogy a NIST (Nemzeti Szabványügyi és Tedhnológiai Hivatal) új jelszóválasztási előírásairól szóló cikk is az. Utóbbiről majd összefoglaló készül valamikor.
Jó szórakozást!