ett föreslaget nytt utförande av e‑postprotokollet SMTP med kryptering och certifikat. – Krypteringen ska vara obligatorisk och göra att obehöriga som snappar upp meddelandet på vägen inte kan läsa det. Certifikaten gör att bara den rätta mottagaren kan ta emot mejlet. Om ett mejl styrs om till fel mottagare så stoppas mejlet och avsändaren får ett felmeddelande. – Se MTA. STS står för strict transport security. – SMTP MTA‑STS har utvecklats av bland andra Google, LinkedIn, Microsoft och Yahoo. Förslaget (länk) lämnades in till internets tekniska ledningsgrupp IETF i mars 2016. Se denna RFC från 2018: länk.
[e-post] [it-säkerhet] [rfc] [ändrad 30 december 2019]
överbelastningsattack där man skickar paket med alla tillval (options) påslagna. Syftet är att öka den angripna serverns arbetsbelastning så mycket som möjligt. – Benämningen julgransattack bygger på att man tänker sig att tillvalen som ljus som slås på i olika färger, som på en julgran. – På engelska: Christmas tree attack. – Man talar också om Christmas tree packets – det är samma slags paket, men inte som del i en överbelastningsattack. Syftet är i stället att se hur mottagarens system reagerar på de olika tillvalen, och på så sätt upptäcka eventuella sårbarheter.
[attacker] [ändrad 9 december 2018]
”radioattack” – angrepp med trådlösa signaler mot inbyggda system. Uttrycket används i synnerhet om attacker mot bilar med it‑system som kan kommunicera trådlöst, men också om liknande angrepp på smarta hem och andra former av sakernas internet.
[bilar] [inbyggda system] [it-säkerhet] [trådlöst] [ändrad 31 augusti 2017]
ett projekt för säkrare och enklare körning av program över webben. Det gäller alltså program som finns på en webbserver, och som anropas av användare genom en webbläsare. – Seif har utvecklats på PayPal och introducerades i början av 2016. Utgångspunkten var att webben utformades för publicering av statiska dokument, och utan tanke på it‑säkerhet. Den utvecklades inte för körning av serverbaserade program med tät kommunikation mellan server och webbläsare. Säkerhet måste därför läggas till genom extra program, som gör arbetet svårare för webbutvecklare. – Seif kan ses som en grundlig omgörning av sättet att kommunicera mellan server och webbläsare. Bland annat används inte HTTP, utan JSON och TCP. Kryptering är inbyggd, och programfiler och andra resurser identifieras av kondensat (hash), inte av namn. – Mer i detta föredrag av Douglas Crockford (länk) och i denna artikel. – Se också denna länk.
[it-säkerhet] [programmering] [webben] [ändrad 22 augusti 2019]
IT general controls – granskning av it-system. Det kan ses som it:s motsvarighet till revision. Granskningen kan omfatta allt som krävs för att systemet ska fungera som det är avsett, att det är i enlighet med organisationens policy och mål, att det har it-säkerhet och att det följer lagar och bestämmelser. ITGC brukar inte omfatta enskilda applikationer, utan systemet som helhet. – I ITGC kan ingå:
- – Hur förändringar görs – att förändringar svarar mot verksamhetens behov och är godkända;
- – Hantering av källkod och dokumentversioner – att källkod skyddas mot oönskade förändringar;
- – Normer för programvarans livscykel – att it-projekt leds på ett ändamålsenligt sätt;
- – Regler, policy och processer för åtkomst – att tillgång till organisationens it-resurser ges i enlighet med verksamhetens behov;
- – Incident-hantering – att det finns policy och procedurer för att hantera misstag i användningen av it-systemet;
- – Problemhantering – hur gör organisationen för att hitta och rätta till den grundläggande orsaken till incidenter;
- – Teknisk support – hur hjälper organisationen användarna att arbeta mer effektivt och att rapportera och få hjälp med problem;
- – Hårdvara och mjukvara – konfigurering, testning, hantering, policy och procedurer;
- – Katastrofhantering, backup och återställning – hur säkerställer organisationen att it-arbetet kan fortsätta under svåra omständigheter;
- – Fysisk säkerhet – hur skyddas it-systemet från yttre skador, orsakade av människor eller av miljön.
[förkortningar på I] [it-system] [it-säkerhet] [ändrad 11 januari 2019]
en algoritm för beräkning av kondensat (hashar) avsedd för krypterad datakommunikation. – SHA‑2 har med början 2016 ersatt föregångaren SHA‑1 i protokollet HTTPS, som används för skyddad kommunikation på webben. SHA‑1, som är från 1973, anses inte längre säker. SHA‑2 är från 2001 och har utvecklats av NSA. Algoritmen anses säker för överskådlig framtid. – Övergången till SHA‑2 har stött på problem, eftersom många kontokortläsare och annan utrustning för betalningar och uttag använder SHA‑1 och inte kan uppgraderas utan höga kostnader. (Läs också om SHA och SHA‑3.)
[kryptering] [matematik] [ändrad 5 mars 2023]
en algoritm för kondensat (hashar) som används i krypterad datakommunikation. – SHA‑1 används bland annat på webben i protokollet HTTPS, men det ska bytas ut mot SHA‑2 med början 2016. – SHA‑1 är från 1973, och anses inte längre säkert mot angripare med stora resurser. Men övergången till SHA‑2 har stött på problem, eftersom många kontokortläsare och annan utrustning för betalningar och kontantuttag använder SHA‑1 och inte kan uppgraderas utan stora kostnader. (Läs också om SHA.) – I februari 2017 meddelade Google att forskare på Google i samarbete med det nederländska institutet CWI (länk) hade lyckats framställa en kollision med SHA‑1. Med andra ord: de har lyckats framställda identiska kondensat av två olika datamängder. Detta är egentligen att vänta, se lådprincipen, men det är första gången som det har demonstrerats, och det gör SHA‑1 bevisat opålitligt. – Läs mer på Googles blogg. – I januari 2020 uppgav forskare i Frankrike och Singapore att de upptäckt ett allvarligt fel i SHA-1 – se detta pressmeddelande. – I december 2022 uppmanade det amerikanska standardiseringsinstitutet NIST alla att sluta använda SHA-1 och gå över till SHA-2 eller SHA-3. Amerikanska myndigheter måste ha rensat ut SHA-1 senast 31 december 2030 (se nist.gov/news…).
[it-säkerhet] [matematik] [ändrad 16 december 2022]
förkortning för Secure hash algorithm. – Det är, som framgår av namnet, en algoritm för säkra kondensat (hashar). – SHA specificeras av den amerikanska standardiseringsmyndigheten NIST. – I själva verket finns det flera versioner, SHA-1, SHA-2 och SHA-3. – Det fanns också en kortlivad föregångare till SHA-1. Den hette bara SHA, men har i efterhand fått namnet SHA-0 (en retronym).
[förkortningar på S] [kryptering] [matematik] [retronymer] [ändrad 30 december 2017]
i it‑säkerhet: lyckat eller misslyckat försök att utan tillstånd radera, ändra, lägga till, stjäla eller offentliggöra data eller andra resurser i ett it‑system, att göra it‑systemet oanvändbart eller att använda resurser i it‑systemet utan tillstånd. Kallas ofta för cyberattack. – Även: angrepp.
[attacker] [ändrad 18 mars 2021]