株式会社ブリッジコーポレーション | Webサイト制作からWebシステムの開発まで総合的にサポート戦略立案を行うWebコンサルティングをはじめ、その戦略を実行するサイト制作、 Webシステム開発を通じて、お客様のビジネスを成功へと導きます。 ITコンサルティング事業
AndroidアプリケーションのSSL通信をプロキシで解析する(1)
0x00. はじめに Androidアプリケーションの解析の際に、それがどのようなSSL通信を行っているかが重要となる場面がある。そのようなとき、Doormanのようなローカルプロキシでその通信をフックすることができれば目的が達成できる。 しかし通常の(PC上の)ウェブブラウザのSSL通信と同じように、Androidにも元々「信頼できるもの」として扱われるルート証明書群がインストールされており、これらの証明書を元にSSL通信が実施されてしまう。ただ単にローカルプロキシでSSL通信をフックしようとしても、当然「偽物の証明書である」としてエラーとなってしまうため、プロキシでのフックを実施するためには少し工夫が必要となる。いくつかの方法が考えられるが、このエントリではまず筆者が一番はじめに試した方法を紹介する。 0x01. 対象 まず、今回はURLConnectionクラスを使ったSSLのアクセ
SSL の証明書についてお聞きします。 とあるサービスで細かくサブドメインを使いたいので ワイルドカード証明書というものを買おうと思っています。…
SSL の証明書についてお聞きします。 とあるサービスで細かくサブドメインを使いたいので ワイルドカード証明書というものを買おうと思っています。 具体的に何か「ワイルドカード証明書」だと困ること デメリットというのはあるのでしょうか。 よろしくお願いいたします。
ベリサイン、SSLサーバ証明書の発行期間を短縮 - 即日発行も可能に | エンタープライズ | マイコミジャーナル
日本ベリサインは1月17日、SSLサーバ証明書の発行期間を短縮することを発表した。有料のエクスプレスサービスを利用すると、即日発行も可能になるという。 日本ベリサインによると、SSLサーバ証明書の発行作業では、厳正な申請書類の確認や、電話による担当者の確認などが必要になるため、申請してから発行に至るまでに時間が掛かることがあったという。それを今回、社内業務フローの見直しとリソースの強化を行い、短期間で発行できる体制を整備。以下のように、発行期間を明示できるようにもなったという。 新発行期間 発行条件 対象製品 通常認証 3営業日(標準納期) ○ストアフロントでのSSLサーバ証明書の購入 ○申請書類の確認完了(登記事項証明書の取得代行を含む) ○電話認証完了 ○入金確認完了 ○セキュア・サーバID ○グローバル・サーバID エクスプレスサービス 即日 ○ストアフロントでのSSLサーバ証明書の
Google、SSL暗号化対応の検索ページを発表
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
Squid で SSL の URL を細かく制限・許可できない理由
プロキシサーバの squid には、ドメインや URL を指定してアクセス許可・拒否できるという記事を以前書きました。 squid で特定のサイトのみアクセスを許可する この方法で、正規表現によりアクセス許可ができると書きましたが、これは SSL を使用する https://~ で始まるサイトにはうまくいきません。 たとえば正規表現でホワイトリストに次のように指定しても、アクセス許可されません。 # whitelist_regex ^http://example.com/hogehoge/ SSL のサイトは、URL の一部や正規表現での細かいアクセス制御はできず、ドメイン単位でしか設定できません。許可するにはホワイトリストで以下のように設定します。 # whitelist example.com:443 なぜ Squid は URL を細かく指定して SSL 通信を通すことができないので
SSL/TLS で Namebase のバーチャルホスト
このスライドについて 2008 年 7 月 12 日の第 15 回まっちゃ 139 勉強会のライトニングトークで発表した (出来なかった :-p) 資料です. (予想通り? :-p) 内容以上に質問のあったこのスライドで使っているソフトについて. W3C の HTML Slidy で作成しています. 他にも似たようなもっと高機能なツールで S5 とか S6 とかありますね. 使い方 普通のプレゼンソフト的にスペースとか←→キー,マウスクリックでページ遷移します. "F11" で全画面表示します.ただし,Mac OS X では,ブラウザが全画面表示をサポートしてない模様です (Safari, Firefox). "c" でメニューが開きます. "a" でページめくりなしで全ページ表示になります. "s", "b" フォントサイズ変更. 印刷すると,一枚一スライドになるみたいです.今回の資料は
JCAF : 日本電子認証協議会 - トップページ
トップページ このたび、以下の10法人を発起人として、「有限責任中間法人 日本電子認証協議会、英文名称: Japan Certification Authority Forum、略称:JCAF」が設立されました。 日本電子認証協議会参加法人(2008年5月14日現在、五十音順) RSAセキュリティ株式会社 財団法人インターネット協会 エントラストジャパン株式会社 グローバルサイン株式会社 サイバートラスト株式会社 セコムトラストシステムズ株式会社 株式会社帝国データバンク 株式会社東京商工リサーチ NPO日本ネットワークセキュリティ協会 社団法人日本インターネットプロバイダー協会 日本クロストラスト株式会社 日本認証サービス株式会社 日本ベリサイン株式会社 株式会社日本レジストリサービス マイクロソフト株式会社 有限責任中間法人 Mozilla Japan 日本電子認証協議会 代表理事
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
Firefox 3のSSL対応方針、どう思う? | スラド セキュリティ
本家記事で、Firefox 3のSSL対応方針や認証や暗号化のあり方について議論が起こっている。 Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー(新興のものや非営利のベンダーなど)によって署名されたSSL証明書を使用しているサイトに接続しようとすると、警告が発せられる。この警告が発せられない状態にするには、サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。 本家タレコミ人のChandon Seldon氏は、「この仕様があるがためにSSL証明書にお金をかけざるを得ないサイトが発生したり、SSL認証無しへの変更を強いられるサイトもあるだろう」と自身のブログに綴っている。氏は、「自己署名SSLのサイトがEV SSLと同じ扱いをされるべきとまでは言わないが、だからといって全く暗号化されていないサイトへの接続時よりも『安全でない』といった印象
高木浩光@自宅の日記 - 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か
自己署名の証明書になっていた。 これは明らかにセキュリティ脆弱性だ。この種類の脆弱性(ブラウザが証明書を検証しない)は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるのではないかと考え、IPAの脆弱性届出窓口に通報した。 この届け出は3月27日に受理された。そして本日、JVNで公表となった。修正版が提供されているので、利用者はアップデートで対応できる。 JVN#76788395 ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性, JVN, 2008年4月23日 パーソナルコミュニケーター "mylo" COM-2 セキュリティ脆弱性対策プログラムご提供のお知らせ, ソニー株式会社, ソニーマーケティング株式会社, 2008年4月2
仮想マシン移行時のセキュリティを考える
今回は「Xensploit」というぜい弱性について取り上げる。その謎をひも解くヒントは,最新のデータ・センター技術,セキュリティの詳細な調査,巧みなネーミングの三つだ。 読者に知っておいてほしいのは以下の内容である。 ミシガン大学の研究グループが最近,稼働している仮想マシン(VM)を移行させる「ライブ・マイグレーション」(関連記事「Xenによる仮想化システム構築術:第4回動的に仮想マシンを移動し可用性を向上」)のセキュリティに関する論文を発表した。ライブ・マイグレーションとしては仮想化ソフト「VMware」のVMotion機能,「Xen」のmigrate機能などを取りあげている。この論文は,ライブ・マイグレーションのプロセス全体について広範なセキュリティ分析を行っている。中でも重点を置いているテーマは,同グループが開発したコンセプト実証(PoC)ツール「Xensploit」である。攻撃者が
CA/Browser Forum - Certificate Issuers, Certificate Consumers, and Interested Parties Working to Secure the Web
The Certification Authority Browser Forum (CA/Browser Forum) is a voluntary gathering of Certificate Issuers and suppliers of Internet browser software and other applications that use certificates (Certificate Consumers). More information for about the forum and information for Site Owners, Developers, Auditors and Assessors, and Potential Members can be found in the About section of this website.
NISCC-224012: OpenSSL に複数の脆弱性
US-CERT Technical Cyber Security Alert TA04-078A Multiple Vulnerabilities in OpenSSL US-CERT Vulnerability Note VU#288574 OpenSSL contains null-pointer assignment in do_change_cipher_spec() function US-CERT Vulnerability Note VU#484726 OpenSSL contains a flaw in the code that processes SSL/TLS handshakes when configured to use the Kerberos cipher suites US-CERT Vulnerability Note VU#465542 OpenSSL
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSLは自重によってつぶれてしまうのだろうか?
FTPS - Wikipedia
http://japan.internet.com/webtech/20090612/8.html
日本ベリサイン - Enterprise & Internet Security Solutions
