サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
COMODO InternetSecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、ドイツ人ジャーナリストのHanno Böckさんのブログ内で明かされました。 Comodo ships Adware Privdog worse than Superfish - Hanno'sblog https://blog.hboeck.de/archives/865-Comodo-ships-Adware-Privdog-worse-than-Superfish.htmlLenovo製のノートPCにプリインストールされているソフトウェア「V
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記]DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か -ITmedia エンタープライズ Dude, YouGotDell’d: Publishing Your Privates -Blog - DuoSecurity Joe Nord personalblog: NewDell computer comes with a eDellRoot trusted rootcertificate https://t.co/chURwV7eNE eDellRootで
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますとGoogle が公式に発表したあたりから、Web サイトの SSL 対応、特にGoogle が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
Hiromitsu Takagi @HiromitsuTakagi あなたの利用サイト、クッキーにセキュア付いてます? Safariで確認 ①ログインし、登録情報変更の画面へ行き、https://であることを確認 ③コマンド+オプション+Iで「Webインスペクタ」を表示 ④リソースでcookieを選ぶ ⑤「保護」にチェック有りが1個以上あるか 2014-12-14 23:35:37 ナカムラッコ @nakamurakko ANAから「パスワード変更するためにログインしてね」って連絡来てるけど、ログインIDとパスワードはSSLで暗号化していないトップページで入力する事になっている… 2014-09-05 12:09:06
いつもネットトレンドはSEOから。 ◆一昨日までの状態まとめ 1.SSLを使うサイトは検索エンジンから評価されるとの噂があります。 また、そうでなくても会員情報を扱うサービスサイトのSSL化は必須でした。 何故かと言うとスマホ+無線LANで、比較的カジュアルに盗聴される可能性があるからです。 故に、特にサービス系サイトは入り口からSSLによる暗号化通信によってのみ接続可能なサイトが増えていました。 2.別の話で、かつて隆盛を誇ったIE6をいつまでサポートするか問題というのが懸念としてありました。 「まぁ正式対応してなくてもつながるならいいか、まだXPでバージョンアップできないユーザーもいらっしゃるし」 ぐらいの感覚で、何も真面目に正式対応はせずとも、つながる可能性を維持しておくのが大人の判断だったと思います。 シェアの話を出しても、もともと全体的にはレアな方々をどこまでサポートするかという
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3.nginx 2.4. lighttpd 2.5.Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9.Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
各社携帯電話のフーチャーフォンの標準Webブラウザの仕様について調べたら ドコモ及びソフトバンクはTLS1.0をサポートしていますが、auはSSL3.0のみサポートしています。 各携帯電話会社が数年前の端末のアップデートは行うことは、考えにくいので、 脆弱性対処の為に単純にSSL 3.0を停止することは難しいかなあと思っています。 TLS1.0もBEAST攻撃などの脆弱性がありますので、端末によっては TLS1.1以上しか有効になっていない場合もブラウザもあります。 なので、この脆弱性によりi-modeなどのフューチャーフォン向けのサービスは もう諦める段階なのかあと考えています。 今は、どうやってお客様に報告すればいいか考え中です。 はあー 参考URL SSL/TLSバージョン 作ろうiモードコンテンツ:主なスペック | サービス・機能 |NTTドコモ http://www.nttdo
Googleのセキュリティチームが、SSL 3.0に深刻な脆弱性が存在することを発見、その詳細について発表した(Google OnlineSecurityBlog、ITmedia、詳細について解説したPDF)。 この脆弱性は「POODLE」と呼ばれており、悪用するとパスワードやCookieに不正にアクセスできるという。対策としては、SSL 3.0の利用を停止することが挙げられている。 SSL 3.0は1995年に発表された技術であり、Netscape Navigator 2.0において実装されて以来、現在ではほぼすべてのWebブラウザで利用できるようになっている。とはいえ、現在ではより改良が進められたTLSがほとんどのWebブラウザで利用可能であり、SSL 3.0を積極的に利用する理由はない。そのため、ChromeではすでにSSL 3.0のサポートを廃止しており、またMozillaもF
■背景 自社のサーバと通信する自社アプリについて、本来不要であるにも関わらず他社であるCAに認証情報の管理を委託することが多いわけですが、CAが証明書を誤発行した結果情報漏洩が発生したとして、その責任は自社にはないと主張できるのか、もう一度考えなおしたほうがいいんじゃないかと思うんです — Kazuho Oku (@kazuho) July 15, 2014 .@ockeghem @smbd @ando_Tw スマホアプリの提供においてはコードの署名鍵を安全に管理することが求められますが、その前提において通信相手の認証管理をCAに委託することにどれほどの意味があるんでしょう — Kazuho Oku (@kazuho) July 14, 2014 ■他社CAは信頼できるのか 特定のCAにpinningするのはしないより安全だけど、そもそも誤発行しないCAなんてあるのかという議論は重要。見知
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6AmazonLinux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
なぜTheo de RaadtはIETFに激怒しているのか本の虫: OpenBSD、怒りのコミットで、OpenBSDのTheo de RaadtがIETFに対して激怒している。 src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 なぜTheo de Raadtは、OpenSSLではなく、IETFに対して激怒しているのか。IETFというのは、インターネット上の規格制定の団体である。今回、世上を騒がせているHeartbeat問題は
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも)SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
お申し込み前の確認事項 お申し込み前に「リポジトリ」ページにて『グローバルサイン電子証明書サービス利用約款』をご確認ください。 ワイルドカードとは ワイルドカードは、同じドメイン内であれば複数のサブドメインサイトを1枚の証明書でSSL暗号化通信を実現いたします。 お問い合わせや資料請求などのフォームを、サブドメインを分けて運営している 商品詳細ページと決済画面とをサブドメイン別に分けて運営している 提供サービス別にサブドメインを分けて運営している ※IIS5.0では証明書ご利用にあたり、サイトごとに異なるグローバルIPアドレスを設定する必要がございます。ポートを変更することでも対応できますが、環境によってはアクセスできなくなることもございますのでご注意ください。 ※携帯電話には対応していません。 ※証明書が「*.example.com」に発行されている場合、「https://example
![[45日間無料]テスト用SSLサーバ証明書|GMOグローバルサイン【公式】](/image.pl?url=https%3a%2f%2fcdn-ak-scissors.b.st-hatena.com%2fimage%2fsquare%2fc68d33a6df043ebcbbfb4b3529db15864affbf82%2fheight%3d288%3bversion%3d1%3bwidth%3d512%2fhttps%253A%252F%252Fjp.globalsign.com%252Fimages%252Fogp.png&f=jpg&w=240)
はじめに みなさんはSSL(Secure Socket Layer)が何だか、きちんと説明できますか? 「フォームが暗号化されて送られるやつでしょ?」 「ブラウザのURL欄とかに鍵マークが付いてたら安心なんだよねー」 ・・・いや、そういうレベルじゃなくて、もうちょっと裏側の仕組みまで説明できますか? まあ単純にWeb利用者としてなら、それぐらいの理解でも構わないかもしれませんが、開発者やサーバーの管理者としては落第点ですよね〜!ww って、すいません、僕がこのあいだまで落第点でした・・・ m(_ _)m 実際、裏側の仕組みが分かってないとSSL関連の申請やサーバーの設定をするときに「CSR?中間証明書?秘密鍵??※◎△$%!!??」になってしまいます。 なので、技術者であれば今自分が何をやっているのか把握できるように、SSLの仕組みをきちんと理解しておくことが必要です。 というわけで、今回
■ 銀行業界が自治体に苦情を申し立てても不思議でない UFJ銀行を装った日本語phishingが発生した。 UFJ銀行をかたる日本語フィッシング詐欺メールが出回る,ITmedia, 2005年3月15日 偽のUFJ銀行メール送られる・フィッシング詐欺か, 日本経済新聞, 2005年3月15日 UFJ銀装い大量に不審メール フィッシング詐欺狙いか, 朝日新聞, 2005年3月15日 報道によれば、14日の21時半からUFJ銀行のコールセンターに通報が多数寄せ られたとのことで、UFJ銀行は15日の11時ごろに注意喚起の発表をしたようだ。 UFJ銀行を偽装した電子メール詐欺が発生していますのでご注意ください, UFJ銀行, 2005年3月15日 公式見解がプレス向けに発表されることで、一般紙が報道として扱えるように なる。そして事実が幅広く市民に周知され、そして被害の拡大が抑えられる。 この
日本ベリサインは2013年2月14日、SSLサーバー証明書発行サービス「マネージドPKI for SSL」で選択可能な公開鍵暗号方式を拡充すると発表した(写真)。2013年上半期(2月26日を目標)から、従来のRSA(素因数分解による公開鍵暗号方式)に加えてECC(楕円曲線による公開鍵暗号方式)とDSA(離散対数による公開鍵暗号方式)を選択できるようにする。発行料金はRSA/ECC/DSAのいずれも選んでも同一であるほか、RSA証明書(1枚)の発行料金だけでRSA/ECC/DSAの3種類の証明書(3枚分の証明書)を同時に発行できる。 RSA以外の公開鍵暗号を用いた証明書発行サービスは、商用サービスとしては初めて、としている。ECCやDSAの証明書は、これらを利用可能なSSL製品(Webサーバー/Webブラウザーなど)において利用できる。日本ベリサインによれば、現在の主要なWebサーバー/ブ
Introduction This page is about thesecurity of RC4 encryption in TLS and WPA/TKIP. For details of the Lucky 13 attack on CBC-mode encryption in TLS, click here. The Transport LayerSecurity (TLS) protocolaims to provide confidentiality andintegrity of data in transit across untrustednetworks like the Internet.It is widely used to secure web traffic and e-commerce transactions on the Internet.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
