HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事 | 海外&国内SEO情報ウォッチ
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。 「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。 たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。 グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。 ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
第5回 意外と知らない?HTTPSを使いこなすテクニック
今回は、通信経路を暗号化するHTTPS(Hyper Text Transport Protocol Secure)について説明します。 HTTPSは、SSL(Secure Socket Layer)/TLS(Transport Layer Security)を使い、HTTP通信を暗号化します。WebアプリケーションでHTTPSを使うと、盗聴や改ざん、なりすましによる被害を防げるようになります。 ただしHTTPSの実装には注意が必要です。2014年には、SSLのオープンソースソフトウエアであるOpenSSLに、「HeartBleed▼」「POODLE▼」「FREAK▼」と呼ばれる重大な脆弱性が見つかりました。証明書を発行する認証局や、Google Chrome、Firefox、IEなどのブラウザーも対応を進めています。 ▼Heartbleedとは、2014年4月に発覚したオープンソースの暗号
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
HTTPSサイトに自動接続するFirefox拡張機能「HTTPS Everywhere」正式版リリース
HTTPS Everywhereをインストールすると、Google検索やTwitter、Facebookなど、対応する1000以上のWebサイトに自動的にHTTPS接続する。 デジタル市民権団体の電子フロンティア財団(EFF)は8月4日(現地時間)、プライバシー保護の非営利団体Tor Projectとともに、Firefox向け拡張機能「HTTPS Everywhere」の公式版(バージョン1.0)を公開したと発表した。HTTPS Everywhereのページからダウンロードできる。 HTTPSは、HTTPでの通信を暗号化することでセキュリティを強化し、盗聴やなりすましを回避する技術。この方法で接続すると、URLの最初の部分が「http」ではなく「https」と表示される。HTTPS Everywhereをインストールすると、対応するWebサイトに接続する場合、自動的にHTTPSで接続する。
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
2009/08/26追記 - セキュリティホール memo
》 Skypeを盗聴するトロイの木馬のソースコードが出回る (ZDNet, 8/31)。Skype trojan sourcecode available for download. (megapanzer.com, 8/25)。PoC コード。 The code is not 100% complete. I removed the plugin system in the backdor and also the firewall bypassing system is not there anymore. I will publish both of them in separate tools later. If you don’t like this … well, I can’t help you. Thats how it is. Take it or leave it. 》
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
