Apache 2.2.* 系と OpenSSL での HTTPS の利用 - Linux サーバ認証 編 -
Apache 2.2.* 系と OpenSSL での HTTPS の利用 - Linux サーバ認証 編 - ここでは、Apache 2.2.* 系と OpenSSL を使用して HTTPS 通信を行います。 サーバ認証について簡単に説明いたします。 一般的に HTTPS 通信 ( 通信経路の暗号化 ) を使用する場面というのは、 個人情報の送信や クレジットカードの情報などの送信において必要になると思います。 なぜ必要かというと、それらの情報は他に漏れてはいけない情報であり、もし平文で送信したならば、 途中の通信経路のどこかで第三者に、その情報を見られてしまう可能性があり、重大な結果を招きかねません。 そのような結果を防ぐ目的があり、HTTPS 通信を行います。 しかし、ここで以下の条件を満たす必要があります。 ・通信経路の暗号化 ・情報を送信するサーバが本当に実在し、自分が送
OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
OpenSSLのWebサイトに改ざん被害、ソースコードは無事
OpenSSLが使っているプロバイダーのパスワードセキュリティの不備を突いてハイパーバイザーの管理コンソールを制御され、OpenSSLの仮想サーバが操られていたことが分かった。 オープンソースのSSL/TLS実装ツールキット「OpenSSL」のWebサイトが改ざんされる被害に遭った。ハイパーバイザーを通じて攻撃が仕掛けられていたことが判明し、セキュリティ機関などが対策を促している。 OpenSSLのサイトに掲載された1月3日付の告知によると、「www.openssl.org」のホームページ改ざんは2013年12月29日に発生した。数時間後には復旧し、調査と対応に乗り出したという。 OpenSSLは仮想サーバを使っていて、同じインターネットサービスプロバイダー(ISP)の顧客との間でハイパーバイザーを共有しているという。調査の結果、このISPのパスワードセキュリティの不備を突いて攻撃が仕掛け
CentOSでIRCサーバー構築(SSL接続) - データサイエンティストのタコ部屋
CentOSでIRCサーバーを構築する LINEやSkypeやチャットワークなどのコミュニケーションツールが流行っていても、やはり社内チャットの定番はIRC(Internet Relay Chat)!そこで今回はCentOS6にIRCサーバーを構築する方法をご紹介します。IRCサーバーは社内にも立てられますが、さくらVPSなど外部サーバーを使った場合も想定してSSL通信で暗号化する方法も解説いたします。 ircd-hybridをインストール IRCサーバーのミドルウェアはいくつかありますが、今回はCentOS標準で用意されているircd-hybridをインストールしてみます。 $sudo yum install -y ircd-hybrid これでircd-hybridがインストールされ、/etc/ircd/ircd.confが作成されますが、標準で用意されているircd.confはかなり
技術/Security/PKI,SSL,TLS/SSL, Certificate, Public Key Pinning - Glamenv-Septzen.net
ホーム 検索 - ログイン | | ヘルプ 技術/Security/PKI,SSL,TLS/SSL, Certificate, Public Key Pinning [ Prev ] [ Next ] [ 技術 ] 勉強中のメモ。(あくまでも個人の意見や見解です) Certificate and Public Key Pinning - OWASP https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning Certificate and Public Key Pinning | グローバルサインブログ|SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社) https://jp.globalsign.com/blog/2013/certificate_public_key_pinning.html
スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い:Geekなぺーじ
今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。 この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。 インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄
SSL/TLSでBEASTを恐れてRC4を優先するのは危ない - Tetsu=TaLowの雑記(はてブロ版)
前職のお仕事で電子政府推奨暗号リストの改定作業を行う暗号技術検討会の事務局をやってたのですが、それ関係の話。3/1付けで電子政府推奨暗号リストあらためCRYPTREC暗号リストが公表されたのですが… 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)に対する意見募集の結果 今回の改定では、電子政府で広く使われているがすでに危殆化が始まっているものを「運用監視暗号リスト」にするということが行われたのですが、今回その扱いにされた暗号のうち代表的なものがストリーム暗号RC4です。この件、もう少し大きな話題になってもいいと思うのですが… 残った国産暗号はCamelliaとKCipher-2 他は消えたのではなく推奨候補暗号リストになった 今回のハイライトの一つはRC4の運用監視暗号リスト行きだと思うのだけど昨日のシンポジウムでは意外と話題にならなかったな / “1…”
他人のCookieを操作する - T.Teradaの日記
脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。 このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に現状のブラウザではリスクは低いです」みたいな話がされることが多いのではないかと思います。 本日の日記では、それ(Cookie Monster)以外にも状況によっては考慮すべきことがある、という話をしたいと思います(過去の日記でも少し書いた話ですが、もう少しちゃんと書いておこうと思います)。 通信経路上に攻撃者がいる 被害者のブラウザとサーバの通信経路上に、アクティブな攻撃者がいると想定しましょう。 そのような状況では、攻撃者は正規のサーバになりかわってブラウザと通信をしたり、ブラウザと正規のサーバで交わされる通信に介入することが
オープンソース・プロジェクトへSSLサーバ証明書を無償提供|SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社)
GMO GlobalSign Inc. (以下、グローバルサイン社(US)) は、「オープンソース・プロジェクト」へSSLサーバ証明書を無償提供する新たな活動を開始しました。 以下の条件を満たすオープンソース・プロジェクトに対しSSLサーバ証明書(ワイルドカードオプション付き)を無償でご利用いただくことができます。 Open Source Initiativeの定める「The Open Source Definition」(オープンソースの定義)に準拠していること※1 グローバルサイン社の実在確認審査で認証されること グローバルサイン社の利用約款に同意すること 商業目的以外のサイトであること SSLサーバ証明書導入後、「SSLチェックツール」※2でグレードAの評価を得る又は、グレードAの評価を得るまで管理すること SSLサーバ証明書を無償提供することで開発プロジェクトの信頼性・安全性を高め
はてなブログ | 無料ブログを作成しよう
織田信長 ぼちぼち、元気にやっています。少し薬にも慣れた...んかなぁ。相変わらず食べられないけど。朝、指がこわばって文字なんて入力できなかったけど、それはほぼなくなった。関節もどこも痛くない。薬効いてきたんやろな。 で、ブログを書こうと言う気がまた起きてきた。 …
SSL/SPDYを攻撃するCRIMEはBEASTの正統な後継者だ
はじめに 以前のエントリでSSLに対する新しい攻撃手法「BEAST」を紹介しましたが、今回はBEASTをさらに発展させた「CRIME」という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド(英語)が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY(あるいはHTTPボディ部のgzip圧縮)で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
SSL/TLS, SSH で利用されている公開鍵の多くが意図せず他のサイトと秘密鍵を共有している問題 – IIJ Security Diary
インターネット上の IPv4 アドレスを広範囲にスキャンして、SSL/TLS, SSH で利用されている公開鍵証明書および DSA 署名を収集したところ、SSL/TLS では5.57% (714,243アドレス)、SSH では9.60% (981,166アドレス) が、意図せず他のサイトと秘密鍵を共有していることが報告されています。その原因は機器出荷時のデフォルト鍵を利用しているケースと、鍵生成時に擬似乱数生成モジュールのエントロピー不足であることが指摘されています。善意で提供されているオンライン鍵チェックサービスにより公開鍵が脆弱かどうかチェックできますので、必要な場合には早急に対策を実施してください。 USENIX Security Symposium は、毎年実践的な研究発表が行われる場で、本年は8月6日から10日にかけて、米国 Redmond にて他のワークショップとともに開催され
すべてのWeb閲覧を平文で送信するTポイントツールバーの危険性 | スラド セキュリティ
CCCが「Web検索をするとTポイントが溜まる」という「Tポイントツールバー」なるものを公開している。このツールバーで検索を行うと「スタンプ」が溜まり、スタンプ2個で1ポイントのTポイントが付与される、というものだ。このツールバー、一見検索キーワードのみをCCC側が取得するようにも見えるが、実際のところはWeb閲覧履歴すべてをCCC側に送信しているらしい。このことは利用規約にも書かれているのだが、情報の送信には平文(HTTP)が使われており、比較的容易に通信を傍受できてしまうことが明らかになった。hauncon 曰く、 利用者のWeb閲覧履歴を取得する利用規約で微妙な意味で話題になっているTポイントツールバーであるが、徳丸浩氏の日記によれば、このツールバーはHTTPSを含むWeb閲覧履歴を全て平文(HTTP)で送信しているということである。 さらにTポイントツールバーのPOSTデータには、
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
連載: IBM Watson Workspace #鬼わか アプリケーション開発: 第 7 回: IBM Watson Workspace で AI を利用したアプリ連携の実現 #鬼わか 解説(前編)
サーバのSSL CA(認証局)証明書が古くてcurl がエラーになる件 - うまいぼうぶろぐ
古いサーバにrvmをgithub から取ってこようとしたらエラーになったよ。 新しいサーバ https://raw.github.com へのRedirectも問題なくアクセスできてる。 $ curl -L -I get.rvm.io HTTP/1.1 301 Moved Permanently Server: nginx/1.0.14 Date: Thu, 21 Jun 2012 01:22:39 GMT Content-Type: text/html Content-Length: 185 Connection: keep-alive Location: https://raw.github.com/wayneeseguin/rvm/master/binscripts/rvm-installer HTTP/1.1 200 OK Server: nginx/1.0.13 Date: Th
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Console FTPS (not SFTP) client?
玄箱X4/サーバー設定/exim4 - fukudat
偶然にも500万個のSSH公開鍵を手に入れた俺たちは - slideshare
