タグ

TLSとsslに関するOooのブックマーク (4)

  • SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘

    Googleに所属するSSL専門家のAdam Langley氏は米国時間12月8日、自身のブログで多くのTLS実装に対して警告を出した。以前明らかになった、SSLバージョン3(SSLv3)に影響する「POODLE(Padding Oracle On Downgraded Legacy Encryption)」攻撃と同じような攻撃につながる脆弱性を含んでいるという。 SSLv3は、CBCモードの暗号でデータのパディングを効果的に特定しない。そのため、ブロック暗号の整合性をきちんと確認できず、「パディングオラクル攻撃」を可能にしてしまう。SSLv3の後、仕様はTLSと改名され、バージョン1になった。TLSv1の変更点の1つとして、パディングオラクル攻撃を防ぐためのパディング処理を改善した。 だが、TLS実装でもパディングバイトのチェックは完全ではないという。多くのTLS実装がSSLv3ソフトウ

    SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘
  • SSL/TLSをもちいていようともsendmailを使用して外部へと電子メールの送信をおこなうのであれば意味がない - 人生が二度あれば

    フロントエンドエンジニア 山岸和利による私的なメモ帖です。JavaScriptを主として、ウェブ周辺技術全般の記事を書いています。 戦姫絶唱シンフォギアの第二期である戦姫絶唱シンフォギアGが放送されるまでの日が刻一刻とちかづいています。そしてそれにともない戦姫絶唱シンフォギアG 第一話の先行上映会がちかく開催されることとなりました。一箇月以上も先行して視聴することができるということとなります。これは実によろこばしいことです。しかしながら供されている応募フォームはいささか以上にあやまりが複数ふくまれてしまっており、どうにも困惑せざるをえません。 先にしめした応募フォームはKENT WEBにて配布されているCGIスクリプトであるPOST-MAILが使用されています。これは応募フォームのHTML文書中に含まれるform要素の中身をみればつよいくせがでてしまっているので一目瞭然です。また応募完了時

    SSL/TLSをもちいていようともsendmailを使用して外部へと電子メールの送信をおこなうのであれば意味がない - 人生が二度あれば
  • OpenSSL memory use in Node.js | Paul Querna

    Last Thursday I went to the Joyent office for Node Office Hours — I wanted to talk to Isaac about running a private NPM registry. Isaac answered my questions about private NPM registries, but Matt Ranney explained a more interesting problem. He was dialed into a conference call line for Node Office hours (he is currently living in Hawaii.) Matt explained that he is using the new TLS module in Node

  • InfoQ: HTTPSコネクションの最初の数ミリ秒

    ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは

    InfoQ: HTTPSコネクションの最初の数ミリ秒
    Ooo
    Ooo 2010/02/26
  • 1