Webを安全にするというSSLの中身を見せて ―@IT―
目次 はじめに ネットワークにはどんな危険がある? 1 どんな危険性があるの 2 盗聴ってなに 3 改ざんってなに 4 なりすましってなに 5 コンピュータ同士の通信ではどうなる Webを安全に使う 6 Webの危険性ってなに 7 Webを安全に利用する技術は 8 SSLってTCP/IPの一部ですか 9 安全に通信するための具体的な工夫とは 10 SSLはWebだけで使うのか SSLの仕組み 11 SSLの中身はどんな仕組みなのか? 12 どんな順序で動くのか? 13 もっと詳しく知りたい 14 SSLで通信しているデータを見せて TCP/IPアレルギー撲滅ドリルはこれまで上位レイヤ、上位レイヤ、総まとめ編とTCP/IPを使った通信で、どのようにパケットが流れてゆくのかをみてきました。今回からは番外編として、セキュリティプロトコルマスターをスタートします。これまでどおり、誰にでも分かりやす
「盗聴や改ざん」は他人事ではない!中間者攻撃とは何か理解してその対策をたてよう
インターネットが普及した今日では、インターネット上における「盗聴」や「改ざん」が身近な出来事になってしまいました。中間者攻撃では、会社の機密事項を扱う研究開発部門などを標的として極秘の情報が狙われるなどだけでなく、企業側と顧客との間に割り込んで両者が交換する情報を盗聴したりすりかえたりもします。したがって顧客とのやり取りをインターネットで行っているならば、どんな企業でも注意しなければいけないことになります。 中間者攻撃とは何か 中間者攻撃とは二者間の通信途中に不正な手段を持って割り込み、通信内容の盗聴や改ざんを行う攻撃で、MITM攻撃(Man in the middle attack)とも呼ばれます。無線LANや中継地点のネットワーク機器などに十分なセキュリティ対策が施されていない場合に発生するケースが多くなっています。暗号化されていない平文によるインターネットの通信は比較的容易に盗聴・改
パンドラの箱?TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記
1. 初参加のセキュリティキャンプ 先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。ありがとうございました。 講義では、学生の方々が短い時間ながら難しい演習に真面目に取り組んでくれました。質疑なども皆受け答えがしっかりしていて、技術的にもレベルが高い回答も多く、非常に驚きました。これだけ優秀な10代、20代の若者が、全国各地から毎年50人も集まるのを実際に見ると、彼らの将来が楽しみです。これまで10年以上継続してこのような活動を続けきた成果でしょう。私自身、とても良い経験をさせていただき
iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita
はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ソーシャルゲームにおけるレイドボスなどへのダメージ操作、ECサイトアプリでの購入操作なども可能になってしまいます。 また、最近自分は「無料で音楽聴き放題!! - ネットラジオ」というアプリをリリースしたのですが、このアプリに導入するスタティックリンクライブラリが不明な外部サーバーへ通信していないか、SSLを使用しているつもりがそうでない通信をしてしまっていないかのチェックをするため、自分はmitmproxyという
Is it secure to submit from a HTTP form to HTTPS?
Is it acceptable to submit from an http form through https? It seems like it should be secure, but it allows for a man in the middle attack (here is a good discussion). There are sites like mint.com that allow you to sign-in from an http page but does an https post. In my site, the request is to have an http landing page but be able to login securely. Is it not worth the possible security risk and
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
「パッと見素数」に気をつけろ! - アジマティクス
91は素数でしょうか? 91は素数 — 91は素数 (@91__prime) 2016年8月13日 91は素数ではありません。 素数大富豪 この記事は、素数大富豪Advent calender11日目の記事です。 「素数大富豪」というトランプゲームがあります。通常の大富豪は場に出ているカードより大きいカードをどんどん出していくというものですが、素数大富豪においてはカードを組み合わせて素数を作り(「4」と「1」で「41」みたいな)、場に出ている素数より大きい素数を出していって、先に手札をなくしたほうが勝ち、というルールになってます。詳しいルールはこちらです。 www.ajimatics.com 素数でない数、すなわち合成数を出してしまうとペナルティとして山札からカードを引かなければなりません。 そんなわけなので、素数大富豪において「一見素数に見えてその実、素数でない」91は鬼門なのです。私自
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
