フェイスブックアプリを HTTPS に対応する方法 - IT戦記
はじめに みなさんこんにちは (´・ω・`) 元気ですか?僕は元気です…。 さて。以下の記事で、フェイスブックが HTTPS をサポートするっていうことが書かれています。 Facebookが、サイトをHTTPSサポートする機能を追加しました。Firesheepなどの攻撃から自分のFacebookアカウントを守るためにも、今すぐオンにしたほうが良さそうです。 http://www.lifehacker.jp/2011/02/110202facebookhttps.html HTTPS って何? HTTPS って何?って方向けに簡単に説明しておくと。 「HTTPS を使う」っていうのは、「自分のパソコン」から「フェイスブック」までの「通信経路の途中に居る人」に通信内容を読まれなくなるってことです。 「通信経路の途中に居る人」って言うのは以下のような人ですね。 会社のネットワークの管理者 学校の
freeml - 無料で簡単!携帯対応!メーリングリストを楽しもう!
住まい 住宅ローン 引越し 暮らし 電気・ガス インターネット ウォーターサーバー 将来に備える 不動産投資 学資保険 投資信託 積立NISA ライフスタイル お酒 グルメ ビューティー アウトドア freeml(フリーエムエル)は、「時代と生活の変化」に対し、「free & meaningful life」のコンセプトのもと、 「新しい生活をはじめる羅針盤」となるような情報メディアを目指しております。「住む場所を探し」「生活インフラを整え」「将来の準備をする」… 生活の中には多くの選択肢が存在し、ひとつひとつの選択の積み重ねによって、よりfree(開放的)でmeaningful(有意義)な生活が形成されていきます。専門家の方々のご協力を交えた当サービスの情報が、届いた方の「よりお得な」「より自分にあった」「より納得のいく」選択に繋がればと願っております。
HTTPとHTTPSとCookieとSecure属性 - masaのメモ置き場
HTTPとHTTPSが混在するサイトにおけるCookie管理はどうあるべきかを考察。 HTTPS用のCookieにはSecure属性を設定しなければならないが、その場合HTTPでそのCookieを使用することが出来なくなってしまう。 HTTP用とHTTPS用に2つのセッション管理用Cookieを発行して管理すればよいのだけれど、その場合アプリケーションサーバが持つデフォルトのセッション管理機能が使用出来なくなってしまう。 どんな方法が一番手軽で管理しやすいんだろう?とりあえず、今考えている方法をメモ。 1.セッション管理用Cookieはアプリケーションサーバが発行するCookieを使用。Secure属性は設定しない。 2.HTTPSのページで使用するSecure属性を設定したCookieを発行。 3.1で発行したCookieに2で発行したCookieを関連付ける。 HTTPのページにアクセ
» SSLアクセラレータの落とし穴: 八重洲缶詰日記
ちょっとお金のある案件だと、「SSLアクセラレータ」なる代物を導入することがあります。ロードバランサなんかに引っ付いてる場合もありますが、SSLの処理をAPサーバに代わってせっせとこなしてくれます。 パフォーマンスがアップしたりなんだりと利点はあるんですが、注意しないと嵌ります。なんせお高い機械なので、テストではまず使いません。 本番環境で動かしてみると原因不明の現象発生・・・、調べたらこいつのせいでした、ってことが良くあります。 いったい何が問題かというと、SSLの処理をAPサーバでやらないので・・ APサーバはSSLで通信していることを知らない ということです。このせいで、↓のような問題が発生します。 1.リダイレクト時の相対パス リダイレクト時にクライアントに送信されるlocationヘッダは絶対パスでないといけません。 request.sendRedirect(”/ho
wall-climb » TomcatのSSL/non-SSL通信時のリダイレクト
「SSLアクセラレータ配下ぜ Apache自己圏 ? URL」ぜ SSLアクセラレータ配下ぜ Apacheのリダイレクト問題を記述したが、こぜ ApacheがTomcatと連携している場合に同じ問題がTomcat側で発生する。つまり、以? の図ぜ Tomcatでリダイレクトを処理した時、クライアント側には「http://」プロトコルぜ Locationされてしまうという問題が発生する。 クライアント | SSL通? SSLアクセラレー゜ | non-SSL通? Apache | non-SSL通? Tomcat Apache側ではこの問題に対応する為に、SSL、non-SSL2つぜ VirtualHostを作成し、ServerName定義を分けることで対応した。Tomcat側でもSSL、non-SSL2つのコネクタを用? すればこの問題に対応可能となる。server.xmlは以下のように?
Pictnotes » ssl imode ドコモ docomo 画像 再呼び込み 通信 KeepAlive 連続
訳の分からないタイトルですが、 imode で、SSLのページにおいて、何度もSSL通信をしてしまう現象が おきた場合は、 apache の設定の KeepAlive の所を見直す、とたぶん Offになっているので、ここをOnにする KeepAlive Off から KeepAlive On ですね、なかなか検索しても出てこないので、タイトルをなんとなく 検索キーワードに近づけてみました。 http://www.bitwin.ne.jp/blog/?p=3 とかに詳しくかいてます。 http://www.nttdocomo.co.jp/service/imode/make/content/ssl/flow/ に * Keep-Aliveする場合の動作 最初の画面だけハンドシェイク(次回以降、暗号化通信のみ) * Keep-Aliveしない場合の動作 毎画面表示のたびにハンドシェイク と書い
Ruby で openssl を使う(インストール) | 変なヤバいもんログ
Posted on 2007年7月16日 Posted by ちゅう コメントする Posted in Development Tags: Ruby Rubyで Net::HTTPS を使おうとしたら、require ‘net/https’ でエラー。どうやら、 require ‘net/https’ した時に、中で require ‘openssl’ を呼べてないぽい。環境はDebian sarge 。 Rubyをソースから入れたので、zlibのインストール の時のような手順で入れたら入った。 Rubyforge からダウンロードした ruby のソースコードのディレクトリへ移動。ディレクトリ名を ruby-1.8.5 とする。openssl は既にインストール済みだった。以下のようなコマンドでインストール出来た。 $ cd ruby-1.8.5/ext/openssl $ ruby e
TechCrunch | Startup and Technology News
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
ApacheにおけるSSLワイルドカード証明書についての質問です。…
ApacheにおけるSSLワイルドカード証明書についての質問です。 そもそも、SSLセキュアサーバを 同一IP・同一ポート、名前ベースで設定することができないと思い込んでいたいのですが、 色々検索すると、名前ベース(サブドメイン)でSSLを同一IP・同一ポートで運用し、 さらにワイルドカード証明書も利用できると記載されたページをみかけます。 以下はポートまで言及してないですが例です http://www.terakado.jp/2008/11/sslnamevirtualhost.html SSLセキュアサーバを構築した場合、 Apacheがホスト名を取得する前に証明書の確認に入ると思っているので、 前段の仕組みがいまいちわからないでいます。 おおまかな仕組みをご教授ください。
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
Googleがウェブ検索をSSL(HTTPS)で暗号化 — リファラーの取得ができなくなる!?
Googleは、ウェブ検索の通信を暗号化することを公式ブログでアナウンスしました。 ストリートビューの撮影の際にWi-Fi無線LANネットワークの通信内容を誤って取得してしまったこと(日本語解説記事)に端を発しています。 暗号化には標準となっているSSL通信が使われます。 現在はベータ版として、httpに”s”を付けたhttps://www.google.com/でテスト公開されています。 今のところウェブ検索だけの導入で、画像検索や地図検索はこれまでと同じ通常のHTTPでの通信のままです。 またユニバーサル検索からウェブ検索以外の検索に移動する場合も暗号化は適用されません。 ユーザー(ブラウザ)とGoogleの間での交わされるデータの送受信の内容もこれまでと変りなく、検索結果も同一です。 唯一違うのは通信が暗号化されており、第三者の傍受が不可能(不可能ではないけれど極めて困難)になるとい
Google、SSL暗号化対応の検索ページを発表
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
続:携帯で端末ID詐称は可能かもしれない話 | [ bROOM.LOG ! ]
「SSL対応」という箇所がある。docomoのUTNとSBシリアル番号およびauのEZ番号のみが○である。 SB公式UID(x-jphone-uid)はSSLゲートウェイを指定すればOKだが他については全て×だ。 これは大変重要な事実を示している。 UTNとSBシリアル番号が○なのは当然だ。SSLはポイント・トゥー・ポイントプロトコルであり、つまりブラウザ (この場合は端末)とWEBサーバーが直接暗号通信することで通信が傍受されたり改変されないことを保証するからだ。逆に言えば通常の携帯ゲートウェイがこの直接通信に介入することはできない(SSLゲートウェイは端末<->SSLゲートウェイ<->WEBサーバという2つの通信を見かけ上束ねているだけだ)。 なのでiモードIDやNULLGWDOCOMO、SB公式uidがSSLに対応しないのはゲートウェイでHTTPヘッダーを付加する必要があるから、と理
IRC を SSL で安全なインターネットを - lql.be::hateda
IRC というのは日常において重要なファクターを占めているにも関わらず平文でやり取りしているという日々に安息はありませんでした。 ということを唐突に思ったのでなんか SSL 通信したいなーと思ったんだけど Tiarra は SSL対応してないしなーと悩んでたところ stone で楽チンに IRC を SSL 化できるらしいのでやってみました。 stone というのはトンネルソフトでサーバ内でポートからポートへパケットを通すということができて結構 port 22 が空いてないときに stone で別のポートから通すなんてことをするんだけど stone 自体がSSL通信を行なえるため tiarra と stone を通してパケットのやり取りができるようになります。これを利用して Tiarra を SSL に対応させます。 手順 Simple Repeater `stone' 公式からソースを持
HTTPS(SSL)ページをインデックスさせない方法
住所や生年月日、クレジットカードなどの個人情報をインターネット経由で伝えることが当たり前のようになり、セキュアな通信はますます重要になってきています。 SSLというのは、”Secure Sockets Layer”の略でインターネット(TCP/IPネットワーク)でやりとりする情報を暗号化して送受信するプロトコル(通信規約)です。 ウェブサーバーとブラウザの通信をSSLの仕組みを使って暗号化するのが、HTTPSです。 SSLは、公開鍵やら秘密鍵やらデジタル証明書やらデジタル署名やらいろいろな技術を使い、理解するのに難易度が高い仕組みです。 といっても、今日の記事はSSLの解説ではありませんので、中身は知らなくてもぜんぜんOKです。w ブログ読者から質問をいただきました。 「HTTPSページをインデックスさせないようにするには、どうすればいいのか?」という質問です。 この方は、eコマースサイト
キャッシュ コントロール ヘッダーでは、SSL を使用した Internet Explorer のファイルをダウンロードの問題 - Microsoft サポート
現象 Internet Explorer 6 Service Pack 1 (SP1) のアドレスバーに ドキュメントの HTTPS URL を入力して、Microsoft Office ドキュメントまたは PDF ファイルを開こうとすると、次のエラーメッセージが表示される場合があります。 原因 サーバー側の送信HTTPヘッダーが"Cache-control:no-store" 、または "Cache-control:no-cache"の場合に、この問題が発生。 解決策 重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復
SSL/非SSL混在サイト用Railsプラグイン ssl_requirementの導入 - RubyBeginner (ルビギナー)の世にも奇妙な開発
[Ruby][Ruby On Rails]SSL/非SSL混在サイト用Railsプラグイン ssl_requirementの導入 INDEX PAGE SSL/非SSL混在サイト用Railsプラグイン ssl_requirementの導入 SSLと非SSLがチャンポンのサイトを作成する場合 皆様どのように実装してますか? 私はWeb素人ということもあって 当初なんの疑いも無くリンク元のURLで制御していました。 しかし、これをやりはじめると本当にソースが汚い。 何とかすっきりさせられないかと想い URL_FORを書き換えようかと考えていたのですが そんな思想のプラグインが見つかりました。 ssl_requirement http://plugindb.jong.gr.jp/homes/20 こちらのプラグインはアクション単位でSSL/非SSLを設定できるプラグインです。 大まかな導入の流れ
ssl_requirement を改造して、https => http の画面遷移でブラウザの警告をなくす
Rails 作者の David Heinemeier Hansson 謹製プラグイン ssl_requirement は実によくできている。わずか40行のコード。だが、http と https の切り替えを完璧にやってくれる。 ruby script/plugin install http://dev.rubyonrails.org/svn/rails/plugins/ssl_requirement/ でインストールできる。 しかしながら巷では、こんなことが話題になっているらしい。 HTTPSの認証ページから認証後、HTTPのページへセキュリティーの警告無しにリダイレクトする方法 私にとっては正直、どうでもいいことだが、人によっては、あの警告に恐怖を感じるのかもしれない。われらが ssl_requirement は正しい作法に従って、302 Redirect で https => http
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SimplePlay
IDEA * IDEA
