TechCrunch | Startup and Technology NewsThe keynote will be focused on Apple’s software offerings and the developers that power them, including the latest versions of iOS, iPadOS, macOS, tvOS, visionOS and watchOS.
OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します
Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 2014-12-09 03:40:07 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 2014-12-09 03:45:03 Hiromitsu Ta
OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトの開発者でありLibreSSLの開発に携わっているBob Beck氏は5月17日(カナダ時間)、「BSDCan2014: LibreSSL」においてLibreSSLの開発がはじまってからのおおよそ30日間のできごとを伝えた。なぜOpenSSLからLibreSSLを派生させ別プロジェクトとして取り組むことにしたのか、具体的にどういった変更を実施したのかなどが説明された。プロジェクトを立ち上げるきっかけはHeartbleed脆弱性が決め手だったのではなく、そのあとに取り組んだ作業によって別プロジェクトにするという判断が決定的なものになったと説明があった。懸念された点は特に次のとおり。
OpenOpenSSL
the main OpenOpenSSL pageAbout OpenOpenSSL Project Goals Hardware Platforms Daily Changelog Security Crypto Events Papers Press Commercial Support Getting OpenOpenSSL CDs/T-shirts/Posters Getting Releases Installing OpenOpenSSL Getting Source AnonCVS CVSync Web OpenOpenSSL Resources Manuals FAQ Patches Reporting Mailing Lists Application Packages Books that Help Supporting Open
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?
ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?2014.04.10 17:005,293 satomi サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。 それに伴い、カナダ政府は確定申告のサービスを緊急閉鎖しました。この件に関して、セキュリティの専門家Bruce Schneier氏(Co3社CTO兼EFF理事兼ハーバード大フェロー)は「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。 このように一国の公共サービスも停止させる重大なバグの名前は「Heartbleed」。血を吹く心臓という意味です。これの何がどう怖いのか、少し説明していきます。 暗号鍵の握手 アップルの脆弱性の時も出たように、ネットでセキュアな取引き
インターネットの重大な問題が発覚。未対策サイトの利用はパスワード流出の恐れ!Heartbleed問題(林 信行) - 個人 - Yahoo!ニュース
インターネットで広く使われてる基礎技術に重大な欠陥が見つかりました。 長らく安全だろうと信じられ、さまざまなサービスをつくるのに広く使われていたOpenSSLという基礎技術が、「実は安全ではなかった」とが発覚したのです。 まだ、その方法で何か大きな被害などが報告されているわけではありませんが、数日前から欧米では大きな問題となりテレビや新聞でも報じられています。 これにより、画面上では「・」に置き換え表示されて他の人にわからないように思えるパスワードも含め、インターネット上の多くのやりとりが、傍受できる可能性が出てきました。 もちろん、既に解決策を見つけて対処をしているWebサイトも多数あります。 ちなみに米国ではmashableというブログが、この問題によってパスワードが漏洩する可能性があったWebサービスの一覧を公開しています: こうしたところでパスワードを盗まれると、今すぐには被害がで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft、「Internet Explorer 11」の“SSL 3.0”フォールバック機能を無効化
「Firefox」の“SSL 3.0”対応を無効化できる拡張機能「SSL Version Control」NOT SUPPORTED
SSL/TLSライブラリ「OpenSSL」の最新版v1.0.1j/v1.0.0o/v0.9.8zcが公開
「わたしは不幸にも見逃した」:壊滅的バグ・Heartbleedを追加した人物へのインタヴュー