Microsoft, Google, and Cloudflare have moved their quantum-safe cryptography deadlines forward to 2029, citing accelerating quantum hardware advances and the growing threat of 'harvest now, decrypt later' attacks by state-level adversaries. Current public-key standards like RSA and ECC are vulnerable to Shor's algorithm on a sufficiently capable quantum computer. While cryptographically relevant quantum computers don't yet exist, the transition to post-quantum cryptography (PQC) is a multi-year engineering effort. Microsoft is embedding PQC requirements into its Secure Future Initiative, and Google is already integrating ML-DSA signatures in Android 17. Experts warn that most organizations lack visibility into where cryptography exists across their systems, and urge building crypto-agility into software now rather than waiting for compliance deadlines.
Nguồn: https://thenewstack.io/post-quantum-cryptography-deadline-2029. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đội bảo mật nội bộ Databricks triển khai 17 tác nhân AI chuyên biệt để xử lý 100% cảnh báo bảo mật mức độ thấp theo thời gian thực bằng Spark Structured Streaming, lọc sớm các tín hiệu vô hại, sử dụng prompt chuyên biệt theo nguồn, tích hợp Threat Intelligence và theo dõi quyết định qua MLflow. Hệ thống tiết kiệm 6.500 giờ phân tích trong 30 ngày và nâng tỷ lệ cảnh báo thật (true positives) gấp 10 lần so với phương pháp cũ, đồng thời rút ra bài học về việc ưu tiên ngữ cảnh hành vi lịch sử và hạn chế phạm vi hướng dẫn của tác nhân để giảm false positives.
Để tối ưu hóa hiệu quả triệt để trong việc xử lý cảnh báo an ninh với chi phí nhân lực thấp và độ chính xác cao, lập trình viên nên tham khảo cách xây dựng hệ thống triệt giác thông minh bằng các và để tự động hóa phân loại cảnh báo an ninh từ thấp đến trung bình.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho nhánh PHP 8.4. Người dùng nên nâng cấp ngay lập tức, tải về từ trang chính thức.
Lập trình viên cần đọc để cập nhật về phí bảo mật mới trong PHP 8.4.23, giúp bảo vệ ứng dụng của mình trước các lỗ hổng nguy hiểm và duy trì an toàn cho hệ thống.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Các công ty VPN thổi phồng nguy cơ của Wi-Fi công cộng để bán dịch vụ, nhưng mạng hiện đại đã an toàn hơn nhờ HTTPS phổ cập, WPA2/WPA3 bảo vệ mạng có mật khẩu, và DNS over HTTPS ngăn chặn theo dõi tên miền. Dù vẫn nên cẩn trọng (tránh HTTP, cập nhật thiết bị, không giao dịch nhạy cảm), rủi ro khi dùng Wi-Fi công cộng ít hơn nhiều so với quảng cáo.
Lập trình viên nên đọc bài này để hiểu cách bảo mật thực tế trên các mạng Wi-Fi công cộng, giúp họ đánh giá đúng mức độ rủi ro và tối ưu hóa các giải pháp bảo mật phù hợp với ứng dụng thực tế của họ.
Bài viết hướng dẫn toàn diện về bảo mật xác thực trong ứng dụng web hiện đại, từ lưu trữ JWT trong localStorage (dễ bị XSS đánh cắp) đến giải pháp an toàn hơn như token trong bộ nhớ, cookie httpOnly kết hợp bảo vệ CSRF, phiên server-side so với JWT, xoay vòng refresh token OAuth, và mô hình Backend for Frontend (BFF). Khuyến nghị chính là lưu phiên trong cookie httpOnly kèm server-side session store, sử dụng CSRF token cùng SameSite/Origin header, và đẩy toàn bộ xử lý token OAuth vào BFF để trình duyệt không bao giờ tiếp xúc trực tiếp. Ngoài ra, bài viết cũng đề cập đến mối đe dọa mới nổi là infostealer/pass-the-cookie và giải pháp bảo vệ cấp phần cứng DBSC của Chrome, kèm theo ví dụ code React để xử lý yêu cầu refresh token đồng thời.
Là người phát triển cần hiểu cách bảo mật xác thực hiện hiệu nhất để tránh các lỗ hổng như XSS, CSRF, và tấn công mới như pass-the-cookie, đồng thời tối ưu hóa hiệu suất và bảo mật cho ứng dụng hiện đại.
Node.js 24.18.0 LTS (tên mã 'Krypton') bổ sung nhiều cải tiến quan trọng như cập nhật chứng chỉ gốc lên NSS 3.123.1, tối ưu hóa socket HTTP idle, tăng kích thước mặc định Buffer.poolSize lên 64 KiB, bổ sung thuật toán TurboSHAKE, KangarooTwelve cho Web Cryptography, hỗ trợ mã trạng thái HTTP 1xx tùy ý, và cải thiện bảo mật crypto (chống tấn công prototype pollution, tương thích BoringSSL, hỗ trợ ML-DSA/ML-KEM JWK). Ngoài ra, phiên bản này nâng cấp npm lên 11.16.0, SQLite lên 3.53.1 cùng nhiều sửa lỗi khác.
Lập trình viên nên đọc bài này vì phiên bản Node.js mới 24.18.0 LTS mang đến những cải tiến an toàn và hiệu năng quan trọng như hỗ trợ mã hóa WebCrypto mới, nâng cấp bảo mật và cải thiện trải nghiệm phát triển với các tính năng như kiểm soát chính xác độ phủ code và tối ưu hóa stream.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.