Latest articles on AI, technology, and software development.
مؤسسه ملی استاندارد و فناوری آمریکا (NIST) در سال ۲۰۲۴ نخستین استانداردهای نهایی رمزنگاری پساکوانتومی خود را منتشر کرد. این مطلب توضیح میدهد که این استانداردها چه مشخصاتی دارند، چرا تهدید «اکنون ذخیره کن، بعداً رمزگشایی کن» (harvest-now-decrypt-later) از هماکنون واقعی است، و تیمهای فناوری اطلاعات چه گامهای مشخصی باید پیش از رسیدن رایانههای کوانتومی بردارند.
NIST در اوت ۲۰۲۴ چهار استاندارد رمزنگاری پساکوانتومی را نهایی کرد. CISA از سازمانهای فدرال خواسته است تا فهرستبرداری را تا ۲۰۲۶ و مهاجرت را تا ۲۰۳۰ کامل کنند. بیشتر سازمانهای بخش خصوصی هنوز شروع نکردهاند. یک راهنمای عملی درباره مدل تهدید، استانداردهای مهم و نقطه شروع.
بیش از ۱۵ میلیارد حساب در پلتفرمهای اپل، گوگل و مایکروسافت اکنون قابلیت Passkey را دارند. در این مطلب میخوانید که Passkeyهای مبتنی بر FIDO2/WebAuthn چگونه کار میکنند، کدام سرویسهای بزرگ آنها را به کار گرفتهاند و تیمهای IT برای سالهای ۲۰۲۶-۲۰۲۷ چه برنامهریزی باید داشته باشند.
CISA، NSA و کاخ سفید همگی به طور رسمی توصیه کردهاند که از C و C++ به سوی زبانهای ایمن از نظر حافظه حرکت کنید. در اینجا شواهد پشت این سیاست — و معنای عملی آن — ارائه میشود.
NIST سه استاندارد رمزنگاری پساکوانتومی را در سال ۲۰۲۴ نهایی کرد. پنجره مهاجرت برای محافظت از دادههای رمزگذاریشده در برابر رایانههای کوانتومی آینده اکنون باز است — و کوتاهتر از آن چیزی است که بیشتر تیمهای امنیتی تصور میکنند.
حملات تزریق پرامپت به مهاجمان اجازه میدهد با قاچاق کردن دستورالعملهای مخرب در محتوایی که مدل میخواند، سیستمهای هوش مصنوعی را ربوده کنند. این همان کلاس آسیبپذیری است که SQL Injection را ایجاد کرد — و جامعه توسعهدهندگان همان اشتباه را تکرار میکند: برخورد با آن بهعنوان یک مسئله حاشیهای.
Passkeys نوید پایان دادن به فیشینگ را میدهند، اما استقرار FIDO2/WebAuthn در مقیاس سازمانی چالشهای عملیاتی سختی را آشکار میکند که اکثر فروشندگان از آن نمیگویند. در اینجا آنچه واقعاً کار میکند آورده شده است.
گذرواژهها از یک ویژگی آزمایشی به احراز هویت جریان اصلی تبدیل شدهاند. اکنون بیش از ۸۰۰ میلیون حساب از آنها استفاده میکنند. در اینجا نحوه عملکرد فنی FIDO2/WebAuthn، پلتفرمهایی که از آنها پشتیبانی میکنند، و موانع واقعی باقیمانده برای پذیرش در سطح سازمانی و مصرفکننده توضیح داده شده است.
گزارش DBIR 2026 ورایزن برای اولین بار در ۱۹ سال نشان میدهد که آسیبپذیریهای نرمافزاری از اعتبارنامههای دزدیده شده به عنوان بردار اصلی نقض دادهها پیشی گرفتهاند. در همین حال، حملات ShinyHunters به Carnival و Canvas تنها در می ۲۰۲۶ تا ۲۸۱ میلیون نفر را تحت تأثیر قرار داده است.
حملات زنجیره تأمین نرمافزار اکنون اهرم بالاتری نسبت به باجافزار دارند: یک نگهدارنده بسته یا سیستم ساخت به خطر افتاده، همزمان به هزاران سازمان پاییندستی نفوذ میکند. نقض SolarWinds، درب پشتی XZ Utils و حمله ۳CX همه از این سناریو استفاده کردند. در اینجا نحوه عملکرد و روشهای دفاع در برابر آنها توضیح داده شده است.
جداسازی مرورگر در ابتدا یک حوزه تخصصی با امنیت بالا برای پیمانکاران، شرکتهای مالی و طرفداران خالص رویکرد اعتماد صفر بود. این وضعیت به سرعت در حال تغییر است. با انتقال بیشتر کارها به SaaS، باقی ماندن دستگاههای مدیریتنشده در گردش، و ورود بارهای مخرب فیشینگ از طریق مرورگر، جداسازی به یک کنترل پیشفرض عملی برای سازمانهای بزرگی تبدیل میشود که میخواهند ریسک را بدون قفل کردن هر نقطه پایانی کاهش دهند.
اپل بهطور رسمی رمزنگاری پساکوانتومی را برای iMessage در سراسر جهان فعال کرده است تا ارتباطات کاربران را در برابر تهدیدات احتمالی محاسبات کوانتومی در آینده محافظت کند. این بهروزرسانی تضمین میکند که مقاومت رمزگذاری سرتاسری حتی با تکامل آسیبپذیریهای رمزنگاری حفظ شود.