2009/11/06 SSL/TLSにMITMを可能にする脆弱性 SSL 3.0/TLS プロトコルで再ネゴシエーションを利用して、MITM攻撃を可能にするセキュリティの脆弱性が見つかったそうだ(BID 36935)。MITM攻撃に成功すると、任意のテキストを入れることができる。この脆弱性は実装... 続きを読む

• yebo-blog.blogspot.com
• コンピュータ・IT

2009年9月16日、W2Cマークアップエンジニア・ワーキンググループでお話しした「マークアップエンジニアが知っておきたい3つの脆弱性」に関するサポートページです。とりあえず資料がダウンロードできます。 資料ダウンロードプレゼンテーション資料の PDF 版が... 続きを読む

• bakera.jp
• コンピュータ・IT

■ エコポイント公式サイトがPhishing対策を怠っている件 「エコポイント」の情報システムがわずか３週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース... 続きを読む

• takagi-hiromitsu.jp
• コンピュータ・IT

[-]=======================================================================[-] Wizard Bible vol.45 (2009,3,5) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0... 続きを読む

• wizardbible.org
• コンピュータ・IT

現状トップ/各方式/SET実用化/マイクロソフトウォレット/電子決済は安心？/ベンチャーと電子決済/SET・SSL安全性/クレジットカード決済/ ショップにカード番号　/ ファイアウォール/モール/ICカード/ICカードの安全性/ＩＣとインターネット/成功要因/デビットカ... 続きを読む

• www2.ocn.ne.jp:gari
• コンピュータ・IT

第12回「SET」 　新聞などで、インターネット決済に関する記事を見ない日は少ない。セキュリティの問題、新しい電子決済サービスなどさまざまだ。新しい決済サービスは多数生まれているものの、現状でこれがスタンダードと言えるものはまだない。 　このシリー... 続きを読む

• internet.watch.impress...
• コンピュータ・IT

SSL方式を使ったインターネットショッピングは、利用者と仮想店舗事業者との間では注文データと決済データ（クレジットカード番号など）を、仮想店舗事業者と金融機関との間では決済データを暗号化してやり取りするといった具合に進んでいきます。 この場合、シ... 続きを読む

• www.p1st.co.jp
• コンピュータ・IT

ビザ・インターナショナルは電子商取引用のクレジットカード決済市場で逆襲に出る。これまで推進してきた電子決済方式「SET」を事実上放棄し，競合関係にあった「SSL」を基にした新方式の普及を目指す。ディーシーカード（DCカード）やソフマップなどと組んで8... 続きを読む

• itpro.nikkeibp.co.jp
• コンピュータ・IT

われわれは誰しもが、Web 上の商取引の保安手段として SSL と HTTPS に頼っている。セキュリティ カンファレンス『Black Hat DC 2009』において、Moxie Marlinspike 氏が SSL および HTTPS に対する攻撃を実演してみせたが、これに驚いたのもそのためだ。控えめ... 続きを読む

• japan.internet.com
• コンピュータ・IT

2009年 1月 6日 2008年12月30日、ベルリンで開催された「第25回カオス コミュニケーション会議（CCC）」において、MD5アルゴリズムへの衝突攻撃を利用し、SSLサーバ証明書の「偽造」に成功した旨の発表が行われました。 この攻撃手法では、一般的なブラウザ上で... 続きを読む

• www.verisign.co.jp
• コンピュータ・IT

世界のハッカーが集う毎年恒例「第25回カオス コミュニケーション会議（CCC）」で本日（米国時間12/30）、MD5アルゴリズムへの衝突攻撃を使ってインチキ認証局（CA）を作ったプロセスを研究者たちが開陳する。これは大ニュースなので、このまま読み進めてね。 ... 続きを読む

• jp.techcrunch.com
• コンピュータ・IT

OpenSSL to NSS Porting Library The purpose is library is to make converting an existing product that uses OpenSSL to use the NSS crypto library instead and to cause as few changes to the code you are trying to port as possible. Some changes a... 続きを読む

• rcritten.fedorapeople.org
• コンピュータ・IT

写真●左からジェイサートの石原章年社長，米Go Daddy GroupのWarren Adelman社長兼CEO，同Business DevelopmentのYong Leeディレクタ 北米でドメイン名登録の価格破壊を巻き起こした立役者が，SSL証明書を先兵に日本市場に参入する。ジェイサートは2008年12月1... 続きを読む

• itpro.nikkeibp.co.jp
• コンピュータ・IT

今は昔 「SSL でネームベースのヴァーチャルホスト」は Apache-Users ML なんかの FAQ だったような． 「卵が先か鶏が先か」 HTTP 1.1 の Host ヘッダ (or Request-URI) を送るときには，既に SSL/TLS の証明書は送られた後． どうにかならないの? ワイルドカー... 続きを読む

• www.ne.jp
• 科学・学問

仕組みはよくわからないんですが……au携帯を使ってhttps(SSL)でアクセスするとき，1バイトだけのprintをすると文字化けするようです．これが起こったのはphpなんですが他の言語でもおきるのでしょうかちなみにphpではoutput_bufferingをonにしたら化けなくなり... 続きを読む

• d:id:lapis25
• コンピュータ・IT

SSL証明書の取得について、もろもろ調べたのでまとめておく。まず、前提条件としては以下の二点。 日本の主要な携帯電話に対応している 複数台サーバの負荷分散環境で、コストが高すぎないこと 携帯対応については、まとめてページ（巻末にリスト表記）がいくつ... 続きを読む

• www.goodpic.com
• コンピュータ・IT

あるセキュリティ研究者が、公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは、セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際、ハッカーが容易にこの通信... 続きを読む

• japan.cnet.com
• コンピュータ・IT

馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する（閲覧者が望めば https:// でも閲覧できるようにする）のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 （8月2日追記: ソフトバン... 続きを読む

• takagi-hiromitsu.jp
• コンピュータ・IT

セキュリティホールmemo (www.st.ryukoku.ac.jp) より、「Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について 」。Flash版のセキュアドシールが表示できないそうで。……し... 続きを読む

• bakera.jp
• コンピュータ・IT

日本のウェブアプリケーションセキュリティのの祭典 WASForum Conference が今週末に開催されます。残席わずかで、そろそろ参加申込が締め切られそうなので興味のある方はお早目にどうぞ。 金曜はセキュリティ侵害の事件当事者の方々の講演もあり大変興味深いで... 続きを読む

• motivate.jp
• コンピュータ・IT