Випущена цього тижня версія MongoDB 4.2 отримала новий механізм шифрування для надійного захисту інформації на випадок компрометації бази даних або сервера.
Йдеться про шифрування на рівні поля (field-level encryption, FLE) – механізму, що не допускає зберігання криптографічних ключів і проведення будь-яких операцій щодо шифрування/дешифрування на сервері. Замість цього всі операції проводяться в використовуваної додатками бібліотеці клієнта MongoDB (драйвер).
Для сервера відправлений клієнтом шифротекст (зашифровані дані) є всього лише черговим типом даних для зберігання. Тобто, навіть якщо сервер буде скомпрометований або база даних раптом виявиться доступною через Інтернет, зловмисники не зможуть отримати зашифровану інформацію.
Що стосується клієнта, то механізм FLE повністю прозорий для додатка, оскільки за нього відповідає драйвер MongoDB, а не код самого додатка. Іншими словами, у багатьох випадках для використання нової функції в код додатків не потрібно вносити ніяких змін, розробникам досить лише оновити драйвер.
Принцип роботи FLE багато в чому нагадує наскрізне шифрування, де двома кінцевими точками є різні додатки, що зберігають і обробляють конфіденційну інформацію користувача.
Новий механізм дозволить компаніям краще контролювати доступ до конфіденційної інформації, а також спростить виконання вимог “Загального регламенту щодо захисту даних” (GDPR) і “Права на забуття”.
Окрім цього, компанія ESET виявила шкідливе ПЗ для Android, здатне обходити механізм двофакторної аутентифікації без доступу до SMS-повідомлень.
До речі, додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.
Нагадаємо, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.
Також дослідники попереджають про реєстрацію реальних атак з експлуатації уразливості нульового дня у браузері Mozilla Firefox. Користувачі повинні якомога швидше оновитися до версії 67.0.3 або 60.7.1.
