Chrome

Google Mengubah Ikon Kunci Chrome, karena Tidak Ada yang Tahu Artinya

May 4, 2023 by Flamango

Ikon baru akan menggantikannya akhir tahun ini untuk menghindari menyesatkan pengguna tentang bagaimana situs web ‘terpercaya’ saat browsing.

Pada hari Selasa, Google mengumumkan akan mengganti ikon kunci dengan ikon “tune” baru dengan rilis Chrome 117 pada bulan September sebagai bagian dari desain ulang browser bertema Material You yang lebih luas.

Google mengklaim bahwa dalam sebuah penelitian pada tahun 2021, hanya 11 persen peserta yang benar-benar memahami tujuan yang dimaksud dari ikon gembok. Ini pertama kali muncul kembali di tahun 90-an setelah Netscape memperkenalkan HTTPS, protokol yang memungkinkan pengguna mengirim data sensitif dengan aman. Dengan demikian, ikon gembok akan ditampilkan saat menelusuri situs web menggunakan HTTPS untuk memberi sinyal bahwa koneksi jaringan aman.

Sementara saat ini lebih dari 95% halaman web chrome menggunakan protokol dan itu menjadi koneksi default.

Sebelumnya, ikon kunci telah mengalami beberapa perubahan pada tahun 2016 dan 2021. Ikon ‘tune’ yang akan hadir ini tidak akan mendapatkan fitur tambahan dan akan terus menandai HTTP teks biasa (sedikit mungkin) sebagai tidak aman di semua platform.

Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google

Ikon kunci Chrome saat ini di desktop dan Android akan diganti pada waktu yang sama pada “awal September 2023”. Sementara itu, Google akan menariknya sepenuhnya dari Chrome di iOS, karena ikon kunci tidak dapat diketuk di platform tersebut.

Selengkapnya: The Verge

Microsoft membajak halaman unduhan Chrome Google untuk memohon agar Anda tidak meninggalkan Edge

February 25, 2023 by Søren

Microsoft Edge telah terlihat memasukkan spanduk ke halaman unduhan Chrome di Google.com yang meminta orang untuk tetap menggunakan browser raksasa Windows itu.

Seperti yang dicatat minggu ini oleh Neowin, upaya untuk mengunduh dan menginstal Chrome Canary menggunakan Edge Canary – keduanya merupakan build browser eksperimental – mengarah ke presentasi di jendela browser Edge dari grafik spanduk yang merayakan keunggulan Edge.

“Microsoft Edge berjalan pada teknologi yang sama dengan Chrome, dengan kepercayaan tambahan dari Microsoft,” spanduk tersebut menyatakan di atas tombol berlabel “Jelajahi dengan aman sekarang.”

Ini ada di laman web Google, google.com/chrome/canary/thank-you.html, dan tidak jelas bagaimana iklan ini muncul. Edge tampaknya menampilkan spanduk dengan sendirinya saat pengguna menjelajahi halaman unduhan Chrome di Google.com, yang sedikit agresif.

Microsoft tidak segera menanggapi permintaan untuk menjelaskan promosi dan mekanisme di baliknya. Kami mencatat bahwa Edge diberdayakan oleh mesin Chromium open source yang juga merupakan inti dari Google Chrome.

Iklan tersebut tampaknya tidak ditayangkan melalui server iklan biasa berdasarkan penempatan halamannya. Ada perdebatan di antara mereka yang mendiskusikan spanduk online apakah iklan terdiri dari kode yang disuntikkan oleh Edge ke halaman web Google, yang akan membuatnya dapat dideteksi dan dilepas sebagai bagian dari Model Objek Dokumen.

Juga disarankan bahwa iklan mungkin berasal dari Edge sebagai elemen antarmuka yang ditumpuk di atas halaman web yang dirender. Kami percaya ini masalahnya.

Selengkapnya: The Register

Kata sandi telah mati? Dukungan passkey diluncurkan ke stabil Chrome

December 10, 2022 by Søren

Kunci sandi ada di sini untuk (mencoba) mematikan kata sandi. Mengikuti peluncuran fitur beta Google pada bulan Oktober, kunci sandi sekarang tersedia di Chrome stable M108. “Passkey” dibuat berdasarkan standar industri dan didukung oleh semua vendor platform besar—Google, Apple, Microsoft—bersama dengan FIDO Alliance.

Blog terbaru Google mengatakan: “Dengan Chrome versi terbaru, kami mengaktifkan kunci sandi di Windows 11, macOS, dan Android.” Pengelola Kata Sandi Google di Android siap untuk menyinkronkan semua kunci sandi Anda ke cloud, dan jika Anda dapat memenuhi semua persyaratan perangkat keras dan menemukan layanan pendukung, Anda sekarang dapat masuk ke sesuatu dengan kunci sandi.

Kunci sandi adalah langkah selanjutnya dalam evolusi pengelola kata sandi. Saat ini pengelola kata sandi sedikit meretas — kotak teks kata sandi pada awalnya dimaksudkan untuk manusia untuk mengetik teks secara manual, dan Anda diharapkan untuk mengingat kata sandi Anda.

Kemudian, pengelola kata sandi mulai mengotomatiskan pengetikan dan penghafalan tersebut, membuatnya nyaman untuk menggunakan kata sandi yang lebih panjang dan lebih aman. Saat ini, cara yang tepat untuk menangani bidang kata sandi adalah meminta pengelola kata sandi Anda membuat serangkaian karakter sampah acak yang tidak dapat diingat untuk ditempelkan di bidang kata sandi.

Kunci sandi menghilangkan antarmuka kotak teks lawas itu dan sebagai gantinya menyimpan rahasia, meneruskan rahasia itu ke situs web, dan jika cocok, Anda masuk. Alih-alih meneruskan string teks yang dibuat secara acak, kunci sandi menggunakan “WebAuthn” standar untuk menghasilkan keypair publik-swasta, seperti SSH.

Selengkapnya: ars TECHNICA

Pembaruan darurat Google Chrome memperbaiki hari nol ke-9 dalam setahun

December 4, 2022 by Søren

Google telah merilis Chrome 108.0.5359.94/.95 untuk pengguna Windows, Mac, dan Linux untuk mengatasi satu kelemahan keamanan tingkat tinggi, Chrome zero-day kesembilan yang dieksploitasi secara liar sejak awal tahun.

“Google mengetahui laporan bahwa eksploit untuk CVE-2022-4262 ada di alam liar,” kata raksasa pencarian itu dalam penasehat keamanan yang diterbitkan pada hari Jumat.

Menurut Google, versi baru telah mulai diluncurkan ke pengguna di saluran Stable Desktop, dan akan menjangkau seluruh basis pengguna dalam hitungan hari atau minggu.

Pembaruan ini segera diluncurkan ke sistem kami saat BleepingComputer memeriksa pembaruan baru dari menu Chrome > Bantuan > Tentang Google Chrome.

Browser web juga akan secara otomatis memeriksa pembaruan baru dan akan menginstalnya tanpa memerlukan interaksi pengguna setelah peluncuran berikutnya.

Kerentanan zero-day (CVE-2022-4262) disebabkan oleh kelemahan kebingungan tipe tingkat keparahan tinggi di mesin JavaScript Chrome V8 yang dilaporkan oleh Clement Lecigne dari Grup Analisis Ancaman Google.

Meskipun kelemahan keamanan kebingungan jenis umumnya menyebabkan browser mogok setelah berhasil dieksploitasi dengan membaca atau menulis memori di luar batas buffer, pelaku ancaman juga dapat mengeksploitasinya untuk eksekusi kode arbitrer.

Meskipun Google mengatakan mendeteksi serangan yang mengeksploitasi zero-day ini, perusahaan belum membagikan detail teknis atau informasi terkait insiden ini.

“Akses ke detail bug dan tautan dapat dibatasi sampai mayoritas pengguna diperbarui dengan perbaikan,” tambah Google.

“Kami juga akan mempertahankan batasan jika bug ada di perpustakaan pihak ketiga yang juga bergantung pada proyek lain, tetapi belum diperbaiki.”

Selengkapnya: Bleeping Computer

Google Chrome Canary mendapat dukungan eksperimental Encrypted Client Hello (ECH)

November 27, 2022 by Søren

Pengguna Google Chrome Canary dapat mengaktifkan dukungan eksperimental untuk Encrypted Client Hello (ECH) sekarang. Klien Terenkripsi Halo, juga disebut sebagai SNI Aman, meningkatkan privasi koneksi Internet. Ini agak teknis, tetapi dipecah ke intinya, ECH melindungi nama host agar tidak terpapar ke Penyedia Layanan Internet, penyedia jaringan, dan entitas lain dengan kemampuan mendengarkan lalu lintas jaringan.

Anda dapat memeriksa apakah ECH diaktifkan di browser Anda menggunakan situs web Pemeriksaan Keamanan Pengalaman Penjelajahan Cloudflare.

Pengenalan dukungan ECH di Google Chrome Canary menandai awal peluncuran yang lebih luas di antara sebagian besar browser berbasis Chromium. Meskipun tanda eksperimental dapat dihapus kapan saja tanpa pemberitahuan lebih lanjut, tampaknya dukungan ECH tidak akan diluncurkan ke Chrome Stable dan browser lain yang berbasis Chromium. Mozilla menambahkan dukungan untuk ECH pada tahun 2021 sudah ada di Firefox.

Pengguna Chrome Canary yang ingin mencobanya perlu melakukan penyesuaian berikut di Chrome Canary:

1. Muat chrome://settings/help untuk memastikan bahwa versi terbaru Chrome Canary telah diinstal. Chrome memeriksa pembaruan dan akan memasang apa pun yang ditemukannya. Restart kemudian diperlukan untuk menyelesaikan pembaruan.
2. Muat chrome://flags/#encrypted-client-hello di bilah alamat browser.
3. Setel status bendera ClientHello Terenkripsi ke Diaktifkan.
4. Mulai ulang Google Chrome.

Klien Terenkripsi Halo diaktifkan di Chrome setelah dimulai ulang. Anda dapat membatalkan perubahan kapan saja dengan menyetel status bendera ke Dinonaktifkan menggunakan petunjuk langkah demi langkah di atas. Gunakan halaman pengujian Cloudflare atau halaman pengujian lainnya untuk mengetahui apakah fitur tersebut berfungsi seperti yang diiklankan.

Selengkapnya: ghacks.net

Chrome akan memaksa Anda untuk meningkatkan dari Windows 7 pada tahun 2023

October 26, 2022 by Eevee

Siapa pun yang tertarik pada keamanan informasi tahu bahwa menjadi seaman mungkin berarti selalu memperbarui perangkat Anda.

Namun, ketika sistem operasi baru yang besar keluar, terkadang pengguna akhirnya menyeret kaki mereka sebelum memutakhirkan, apakah mereka khawatir bahwa OS baru mungkin memperkenalkan ketidakcocokan perangkat lunak, atau hanya memperlambatnya saat mereka mempelajari kembali alur kerja.

Chrome telah mengancam untuk meninggalkan pengguna Windows lama untuk sementara waktu sekarang, dan kami bertanya-tanya kapan Google akan menghentikan kompatibilitas Windows 7 sejak Microsoft mengakhiri dukungan arus utama pada tahun 2020. Minggu ini kami akhirnya mulai mempelajari bagaimana semuanya akan berakhir , dengan rilis Chrome 110 tahun depan.

Chrome tidak akan lagi mendukung Windows 7 atau Windows 8.1 setelah Chrome 110 dirilis, yang saat ini dijadwalkan stabil pada 7 Februari 2023. Sejak saat itu, Anda harus menjalankan setidaknya Windows 10 untuk mempertahankan akses ke versi baru .

Meskipun Google tidak akan melakukan apa pun untuk menghentikan pengguna platform lama untuk terus menginstal dan menjalankan rilis Chrome sebelumnya, mereka akan kehilangan peningkatan keamanan dan kegunaan penting terbaru.

Jika Anda masih merupakan orang yang menghindari Windows-10 pada saat ini, selamat atas tekad Anda, tetapi inilah saatnya untuk melanjutkan.

Sumber: Android Police

Android dan Chrome mengambil langkah pertama menuju masa depan yang bebas sandi

October 14, 2022 by Eevee

Google membagikan kabar bahwa masa depan tanpa kata sandi baru yang berani sedang dalam perjalanan ke Android dan Chrome. Berkat kunci sandi yang ditandatangani secara kriptografis yang tersimpan di ponsel Anda, Anda akan dapat mengakses layanan favorit dengan aman dan mudah dan semuanya dimulai hari ini.

Inti dari konsep ini adalah gagasan tentang “kunci sandi” catatan digital yang menghubungkan informasi pribadi Anda dengan layanan tertentu, ditandatangani dengan aman melalui rantai kepercayaan, dan disimpan di perangkat seperti telepon Anda.

Dan seperti data lain yang Anda simpan dengan aman di ponsel, Anda dapat mengaksesnya dengan biometrik yang nyaman seperti sidik jari yang jauh lebih mudah dan lebih aman daripada mengetikkan kata sandi.

Android mendapatkan dukungan untuk kunci sandi melalui Pengelola Kata Sandi Google, yang akan membantunya tetap disinkronkan di seluruh perangkat keras Anda ini semua dienkripsi ujung ke ujung, dengan Google yang mengoordinasikan distribusi kunci sandi Anda, Android tidak dapat mengaksesnya dan menggunakannya untuk masuk ke akun Anda.

Dukungan awal sebagian besar dibangun untuk mengakses layanan web, dan selain menggunakan kunci sandi di ponsel Anda untuk merampingkan akses di seluler, Anda juga dapat menggunakannya untuk terhubung di desktop: Chrome di PC Anda dapat menampilkan kode QR untuk layanan, yang kemudian Anda pindai dengan telepon Anda, dan otorisasi kunci sandi. Selanjutnya, Google sedang berupaya memberikan akses pengembang ke API Android untuk dukungan kunci sandi asli, yang akan tiba sekitar akhir tahun ini.

Ada banyak pekerjaan yang harus dilakukan sebelum semua ini terasa mainstream: aplikasi dan situs web perlu diperbarui, pengelola kata sandi pihak ketiga harus bersiap untuk perubahan besar ini, dan pengguna harus dididik tentang interaksi baru ini.

Sumber: Android Police

0-hari yang Digunakan untuk Menginfeksi Pengguna Chrome Juga Dapat Menimbulkan Ancaman bagi Pengguna Edge dan Safari

July 24, 2022 by Eevee

Penjual rahasia perangkat lunak serangan siber baru-baru ini mengeksploitasi kerentanan Chrome yang sebelumnya tidak diketahui dan dua zero-days lainnya dalam kampanye yang secara diam-diam menginfeksi jurnalis dan target lainnya dengan spyware canggih, kata peneliti keamanan.

CVE-2022-2294, karena kerentanan dilacak, berasal dari kelemahan korupsi memori di Web Real-Time Communications, sebuah proyek sumber terbuka yang menyediakan antarmuka pemrograman JavaScript untuk mengaktifkan kemampuan komunikasi suara, teks, dan video real-time antara browser web dan perangkat. Google menambal cacat pada 4 Juli setelah peneliti dari perusahaan keamanan Avast secara pribadi memberi tahu perusahaan bahwa itu sedang dieksploitasi dalam serangan lubang air, yang menginfeksi situs web yang ditargetkan dengan malware dengan harapan kemudian menginfeksi pengguna yang sering. Microsoft dan Apple masing-masing telah menambal kelemahan WebRTC yang sama di browser Edge dan Safari mereka.

Avast mengatakan pada hari Kamis bahwa mereka menemukan beberapa kampanye serangan, masing-masing memberikan eksploitasi dengan caranya sendiri ke pengguna Chrome di Lebanon, Turki, Yaman, dan Palestina. Situs sangat selektif dalam memilih pengunjung mana yang akan dijangkiti. Setelah situs berhasil mengeksploitasi kerentanan, mereka menggunakan akses mereka untuk menginstal DevilsTongue, nama yang diberikan Microsoft tahun lalu untuk malware canggih yang dijual oleh perusahaan yang berbasis di Israel bernama Candiru.

“Di Lebanon, para penyerang tampaknya telah menyusup ke situs web yang digunakan oleh karyawan kantor berita,” tulis peneliti Avast, Jan Vojtěšek. “Kami tidak dapat mengatakan dengan pasti apa yang mungkin dikejar para penyerang, namun seringkali alasan mengapa penyerang mengejar jurnalis adalah untuk memata-matai mereka dan cerita yang mereka kerjakan secara langsung, atau untuk mendapatkan sumber mereka dan mengumpulkan informasi yang membahayakan. dan data sensitif yang mereka bagikan kepada pers.”

Vojtěšek mengatakan Candiru telah berbohong setelah paparan yang diterbitkan Juli lalu oleh Microsoft dan CitizenLab. Peneliti mengatakan perusahaan itu muncul kembali dari bayang-bayang pada bulan Maret dengan perangkat yang diperbarui. Situs yang tidak diidentifikasi oleh Avast, bersusah payah tidak hanya dalam memilih hanya pengunjung tertentu untuk diinfeksi, tetapi juga dalam mencegah kerentanan zero-day yang berharga ditemukan oleh para peneliti atau calon peretas saingan.

Terlepas dari upaya untuk menjaga kerahasiaan CVE-2022-2294, Avast berhasil memulihkan kode serangan, yang mengeksploitasi heap overflow di WebRTC untuk mengeksekusi shellcode berbahaya di dalam proses renderer. Pemulihan memungkinkan Avast mengidentifikasi kerentanan dan melaporkannya ke pengembang sehingga dapat diperbaiki. Perusahaan keamanan tidak dapat memperoleh eksploitasi zero-day terpisah yang diperlukan sehingga eksploitasi pertama dapat lolos dari kotak pasir keamanan Chrome. Itu berarti hari nol kedua ini akan hidup untuk bertarung di hari lain.

Setelah DevilsTongue terinstal, ia berusaha untuk meningkatkan hak sistemnya dengan menginstal driver Windows yang mengandung kerentanan lain yang belum ditambal, sehingga jumlah zero-days yang dieksploitasi dalam kampanye ini menjadi setidaknya tiga. Setelah driver yang tidak dikenal diinstal, DevilsTongue akan mengeksploitasi kelemahan keamanan untuk mendapatkan akses ke kernel, bagian paling sensitif dari sistem operasi apa pun. Peneliti keamanan menyebut teknik itu BYOVD, kependekan dari “bawa pengemudi rentan Anda sendiri.” Ini memungkinkan malware untuk mengalahkan pertahanan OS karena sebagian besar driver secara otomatis memiliki akses ke kernel OS.

Avast telah melaporkan kekurangan tersebut kepada pembuat driver, tetapi tidak ada indikasi bahwa patch telah dirilis. Pada saat publikasi, hanya Avast dan satu mesin antivirus lainnya yang mendeteksi eksploitasi driver.

Karena Google dan Microsoft menambal CVE-2022-2294 pada awal Juli, kemungkinan besar sebagian besar pengguna Chrome dan Edge sudah terlindungi. Apple, bagaimanapun, memperbaiki kerentanan pada hari Rabu, yang berarti pengguna Safari harus memastikan browser mereka mutakhir.

“Meskipun tidak ada cara bagi kami untuk mengetahui dengan pasti apakah kerentanan WebRTC juga dieksploitasi oleh kelompok lain, itu adalah kemungkinan,” tulis Vojtěšek. “Terkadang zero-days ditemukan secara independen oleh banyak grup, terkadang seseorang menjual kerentanan/eksploitasi yang sama ke beberapa grup, dll. Tetapi kami tidak memiliki indikasi bahwa ada grup lain yang mengeksploitasi zero-day yang sama ini.”

Sunber: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Chrome

Cookies Settings