Google

Google Chrome tidak lagi mendukung beberapa prosesor lama

February 9, 2021 by Winnie the Pooh

Tim pengembang Chromium mengumumkan melalui dokumen kebijakan> bahwa dukungan akan dihentikan untuk CPU x86 lama yang tidak memenuhi minimal dukungan SSE3 (Supplemental Streaming SIMD Extensions 3), mulai dari Chrome 89.

Dampak yang diharapkan pada penggunaan Chrome diperkirakan sangat kecil, mengingat perangkat yang terpengaruh sebagian besar akan menjalankan prosesor pra-Intel Core 2 Duo. Karena sebagian besar prosesor pasca-2005 sudah mendukung SSE3, perangkat keras harus berusia di atas 15 tahun agar dapat terpengaruh oleh perubahan ini.

Windows akan menjadi satu-satunya sistem operasi yang terpengaruh oleh pengumuman ini karena Mac, Android, dan Chrome OS semuanya memerlukan dukungan SSE3 untuk beroperasi. Kemungkinan besar Microsoft Edge juga akan terpengaruh oleh penurunan dukungan ini, mengingat browser ini berbasis Chromium.

Dimulai dari Chrome 89, perangkat apa pun yang tidak memenuhi persyaratan CPU minimum yang baru tidak akan lagi mencoba memasang Chrome, dan menjalankan perangkat lunak itu sendiri akan mengakibatkan crash.

Perangkat apa pun yang akan terpengaruh oleh perubahan ini akan mulai menerima peringatan dari Chrome 87 yang memberi tahu pengguna bahwa dukungan untuk perangkat keras mereka akan segera berakhir.

Sumber: Tech Radar

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Winnie the Pooh

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Bagaimana Anda memperbaiki masalah seperti keamanan sumber terbuka? Google punya ide meskipun kendala mungkin tidak berjalan dengan baik

February 5, 2021 by Winnie the Pooh

Google telah mengusulkan kerangka kerja untuk mendiskusikan dan menangani keamanan sumber terbuka berdasarkan faktor-faktor seperti identitas terverifikasi, tinjauan kode, dan bangunan tepercaya, tetapi pendekatannya mungkin bertentangan dengan budaya sumber terbuka.

Keamanan perangkat lunak sumber terbuka sangat penting karena penggunaannya yang luas, dari kernel Linux tempat sebagian besar internet berjalan hingga library JavaScript kecil yang dibangun ke dalam jutaan aplikasi web, terkadang melalui rantai dependency yang agak tersembunyi dari pengembang. Kerentanan seperti yang ditemukan baru-baru ini di utilitas sudo penting memengaruhi jutaan sistem.

Sebuah tim dari Google kini telah memposting panjang lebar tentang masalah tersebut dengan harapan dapat “memicu diskusi dan kemajuan industri secara luas dalam keamanan perangkat lunak open source.”

Google menyarankan bahwa “perangkat lunak sumber terbuka harus mengurangi risiko di bagian depan keamanan, karena semua kode dan dependency berada di tempat terbuka dan tersedia untuk pemeriksaan dan verifikasi,” tetapi mencatat bahwa ini hanya berlaku jika orang-orang “benar-benar melihat”.

Tim Google mengakui bahwa tujuannya untuk perangkat lunak kritis “lebih berat dan oleh karena itu akan menemui beberapa hambatan, tetapi kami yakin kendala tambahan sangat penting untuk keamanan.”

Proposal Google mencakup beberapa hal spesifik, dengan catatan bahwa beberapa ide hanya ditujukan untuk perangkat lunak sumber terbuka yang dikategorikan sebagai kritis.

Selengkapnya: The Register

Chromium membersihkan tindakannya – dan kueri server root DNS harian turun hingga 60 miliar

February 5, 2021 by Winnie the Pooh

Proyek Chromium yang disponsori Google telah membereskan tindakannya, dan hasilnya adalah permintaan yang menurun tajam ke server root DNS.

Seperti yang dilaporkan The Register pada Agustus 2020, browser berbasis Chromium menghasilkan banyak lalu lintas DNS saat mereka mencoba menentukan apakah masukan ke dalam omnibox mereka adalah nama domain atau kueri penelusuran.

Engineer Verisign, Matthew Thomas dan Duane Wessels memeriksa lalu lintas yang dihasilkan dan mencapai kesimpulan bahwa itu menyumbang hingga 60 miliar kueri DNS setiap hari.

Di posnya Wessels mengatakan tim Chromium mendesain ulang kodenya untuk menghentikan permintaan DNS junk, dan merilis pembaruan di Chromium 87.

Hasilnya? “Sebelum perangkat lunak dirilis, sistem server root mencapai puncak ~ 143 miliar kueri per hari,” tulisnya. “Volume lalu lintas sejak itu menurun menjadi ~ 84 miliar kueri sehari. Ini mewakili lebih dari 41 persen pengurangan volume kueri secara total.”

Selengkapnya: The Register

Google mendanai proyek untuk mengamankan server web Apache dengan komponen Rust baru

February 3, 2021 by Winnie the Pooh

Google mendanai proyek di Internet Security Research Group untuk memindahkan komponen penting dari proyek server web HTTP Apache dari bahasa pemrograman C yang rawan bug ke alternatif yang lebih aman bernama Rust.

Modul yang dimaksud disebut mod_ssl dan merupakan modul yang bertanggung jawab untuk mendukung operasi kriptografi yang diperlukan untuk membuat koneksi HTTPS di server web Apache.ISRG mengatakan berencana untuk mengembangkan modul baru yang disebut mod_tls yang akan melakukan hal yang sama tetapi menggunakan bahasa pemrograman Rust daripada C.
Modul ini akan didasarkan pada Rustls; pustaka sumber terbuka Rust dikembangkan sebagai alternatif untuk proyek OpenSSL berbasis C.

Menurut W3Techs, server web HTTP Apache adalah teknologi server web teratas saat ini, digunakan saat ini oleh 34,9% dari semua situs web yang teknologi server webnya dikenal.

“Apache httpd masih merupakan bagian infrastruktur yang sangat penting, 26 tahun setelah dimulainya,” kata Brian Behlendorf, salah satu pembuat server web Apache.

Dikembangkan menggunakan sponsor dari Mozilla, Rust diciptakan untuk membuat bahasa pemrograman multiguna yang lebih aman digunakan, tingkat rendah, sebagai alternatif untuk C dan C ++.

Tidak seperti C dan C ++, Rust dirancang sebagai bahasa pemrograman yang aman untuk memori yang dilengkapi dengan perlindungan terhadap masalah manajemen memori yang sering mengakibatkan kelemahan keamanan yang berbahaya.

Kerentanan keamanan memori telah mendominasi bidang keamanan selama beberapa dekade terakhir dan sering menyebabkan masalah yang dapat dimanfaatkan untuk mengambil alih seluruh sistem, dari desktop hingga server web dan dari ponsel cerdas hingga perangkat IoT.

Microsoft mengatakan pada 2019 bahwa persentase masalah keamanan memori yang ditambal dalam perangkat lunaknya telah mencapai sekitar 70% dari semua bug keamanan selama 12 tahun terakhir.

Pada tahun 2020, Google menggemakan angka yang sama ketika tim Chrome mengatakan bahwa 70% dari bug yang ditambal di browser webnya juga merupakan masalah terkait memori.

Dengan statistik seperti itu dari Google dan Microsoft, dan dengan hampir dua pertiga dari seluruh situs web sekarang dialihkan ke HTTPS, porting modul mod_ssl Apache ke Rust adalah cara sederhana dan cepat untuk memastikan miliaran pengguna tetap aman di tahun-tahun mendatang.

Source : ZDnet

Google: Inilah cara kami memperkuat keamanan Android

February 2, 2021 by Winnie the Pooh

Google telah menjelaskan cara mencoba meningkatkan keamanan Android, dan langkah-langkah yang diambil untuk mengatasi ancaman umum.

Terungkap bahwa 59% dari kerentanan keamanan kritis dan sangat serius yang memengaruhi sistem operasi Android-nya adalah masalah memori, seperti kerusakan dan luapan memori.

Masalah keamanan memori sejauh ini merupakan kategori teratas dari masalah keamanan, diikuti oleh cacat permissions bypass, yang merupakan 21% dari masalah yang diperbaiki oleh teknisi keamanan Google pada tahun 2019.

Masalah memori umumnya merupakan kategori teratas dari kesalahan keamanan pada platform utama seperti Java, Windows 10, dan Chrome. Engineer Google tahun lalu mengatakan 70% dari bug keamanan Chrome adalah masalah keamanan memori.

Google hari ini mengatakan sedang mendorong pengembang untuk beralih ke bahasa program yang aman-memori seperti Java, Kotlin, dan Rust, tetapi juga berusaha meningkatkan keamanan C dan C ++. Ini adalah bagian dari upayanya untuk memperkuat Android dan melindungi OS dari malware dan eksploitasi.

Dalam hal Android, sebagian besar bug yang telah diperbaiki Google selama setahun terakhir ada di komponen media, Bluetooth, dan NFC. Library media adalah komponen utama yang terpengaruh oleh bug Stagefright yang kritis dan dapat dieksploitasi dari jarak jauh di Android yang diungkapkan Google pada tahun 2015.

Menurut Google, upayanya untuk memperkuat kerangka server media di Android berarti bahwa pada tahun 2020 tidak ada satu pun laporan tentang kerentanan kritis yang dapat dieksploitasi dari jarak jauh dalam kerangka kerja media Android.

Selengkapnya: ZDNet

Layanan cloud Google baru bertujuan untuk menghadirkan zero trust security ke web

January 28, 2021 by Winnie the Pooh

Google telah mengumumkan ketersediaan umum BeyondCorp Enterprise, layanan keamanan baru dari Google Cloud berdasarkan prinsip merancang jaringan zero trust security.

Ketika perusahaan keamanan AS menerima peretasan rantai pasokan SolarWinds, Google dan Microsoft membicarakan kemampuan mereka di cloud dengan tidak adanya kepercayaan.

Microsoft minggu lalu mendesak pelanggan untuk mengadopsi “mentalitas tanpa kepercayaan” dan meninggalkan asumsi bahwa segala sesuatu di dalam jaringan TI aman dan sekarang Google telah meluncurkan layanan BeyondCorp Enterprise berdasarkan konsep yang sama.

“zero trust security mengasumsikan tidak ada kepercayaan implisit yang diberikan kepada aset atau akun pengguna hanya berdasarkan lokasi fisik atau jaringan mereka (yaitu, jaringan area lokal versus internet) atau berdasarkan kepemilikan aset (perusahaan atau milik pribadi),” jelas National Institute Standar dan Teknologi (NIST).

“Otentikasi dan otorisasi (baik subjek dan perangkat) adalah fungsi terpisah yang dilakukan sebelum sesi ke sumber daya perusahaan dibuat.”

selengkapnya :ZDNET

Distributor Linux frustrasi dengan pembatasan browser web Chromium baru dari Google

January 27, 2021 by Winnie the Pooh

Google mengklaim baru-baru ini menemukan browser berbasis Chromium pihak ketiga yang tidak disebutkan namanya yang mengintegrasikan fitur berbasis cloud Google, seperti sinkronisasi Chrome dan Click to Call, yang ditujukan hanya untuk pengguna Google Chrome.

Dengan kata lain, “Ini berarti bahwa sebagian kecil pengguna dapat masuk ke Akun Google mereka dan menyimpan data sinkronisasi Chrome pribadi mereka, seperti bookmark, tidak hanya dengan Google Chrome, tetapi juga dengan beberapa browser berbasis Chromium pihak ketiga.” Google tidak senang akan hal ini.

Mulai 15 Maret, Google mengatakan akan membatasi akses ke banyak antarmuka pemrograman aplikasi (API) Chrome di dalam Chromium mulai 15 Maret 2021. Ini berarti pengguna yang menggunakan browser web Chromium atau browser web lainnya berdasarkan basis kode sumber terbukanya tidak akan dapat menggunakan sebagian besar layanan berkemampuan API khusus Google.

Banyak pengguna juga tidak senang sekarang. Thom Holwerda, editor pelaksana OSNews, berbicara banyak ketika dia menulis, Google “tidak menutup lubang keamanan, mereka hanya mengharuskan semua orang menggunakan Chrome. Atau terus terang, mereka tidak ingin Anda mengakses fungsionalitas Google API mereka tanpa menggunakan perangkat lunak berpemilik (Google Chrome).”

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Google

Cookies Settings