Google、SSL暗号化対応の検索ページを発表
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
WebメールのHTTP通信の危険性 | Security.GS Magazine
本日から開始されたドコモwebメールを触ってみたが、パスワードを送信する一瞬だけSSL通信を使うものの、ログイン画面や、ログイン後のウェブメールの画面では一切SSL通信が使われておらず、公衆ネットワークやプロキシ接続環境で閲覧した場合は、メール本文が流出する可能性があることに気付いた。 ドコモwebメールで注意が必要なのは、設定によっては普段ドコモの携帯電話で送受信しているiモードメールも、ドコモwebメールで閲覧できるため、携帯での送受信メールが流出するのと同義だということ。 また、ドコモwebメールのベースとなっているgooメールやYahoo!メール、Hotmailなどもログイン以外はSSL通信を行っていない。Gmailでは常時SSL通信を行う設定を確認できた。 ちなみに、盗聴やプロキシ接続などで通信を傍受された場合、下記のような事象でメールを読みやすく取得できる。 【認証時はSSL通
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
CERT/CC Vulnerability Note VU#261869
Clientless SSL VPN products break web browser domain-based security models Vulnerability Note VU#261869 Original Release Date: 2009-11-30 | Last Revised: 2013-06-20 Clientless SSL VPN products from multiple vendors operate in a way that breaks fundamental browser security mechanisms. An attacker could use these devices to bypass authentication or conduct other web-based attacks. Web browsers enfor
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
自堕落な技術者の日記 : Black Hatの証明書Null Termination攻撃(その1?) - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 Black Hat USA 2009でDan Kaminskyがタイトルはよくわかんないんだけど、SSLサーバー証明書関連で講演してちょっと話題になっているそうだ。 最初読んだときは(MD2やMD5の証明書の問題とからめて本人も混乱してるんじゃん?と思うような記事を書いちゃうひとに騙されて)攻撃方法がよくわかんなかったので、釈然としないままでいたんだけど、わかった〜〜〜と思ってブログに書こうかなぁと思いつつも、忙しくて時間がとれなくて、もうFireFoxから修正(3.5.2)が出ていた。 今流れている文章も誰のどこが悪いのか歯切れの悪い文章が多いために、すっきりしないので、ちょっと整理しようと思う。 NULL証明書攻撃 SSLサーバー証明書は
ScanNetSecurity - SCAN DISPATCH :SSL中間者攻撃回避に推奨されているEV SSLにも中間者攻撃が可能に
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ---- 既に中間者攻撃などの脆弱性が発見されているSSL。そのため、中間者攻撃を回避するために推薦されているのが、EV SSL(Extended Validation SSL)だ。 中間者攻撃(Man in the middle attack)とは https://www.netsecurity.ne.jp/dictionary/maninthemi.html 証明書を発行する日本ベリサイン社は、そのWebページで「近年、様々な認証レベルのSSLサーバ証明書が利用されていますが、中には高度化しつつあるフィッシング詐欺対策に不十分と言えるものもあります。そのような状況を解決するために、米国CA/ブラウザフォーラム(CABF)によ
ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視 | スラド セキュリティ
Webブラウザが表示する「SSL証明書が無効」という旨の警告について、55%~100%のユーザーが無視しているという調査結果が明らかになった(ComputerWorld.jp)。 カーネギーメロン大の研究者らが執筆した報告書によると、400名以上のWeb利用者を対象にオンライン調査を行い、その後100名のユーザーをラボに招いてWebを閲覧する様子を調査したという。その結果、信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る、というユーザー行動が検出されたそうだ。 また、Firefox 3では警告メッセージがより大きく表示されるようになったが、これによりユーザーが警告を無視してサイトを閲覧する割合は減ったとののこと。
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営
セキュリティ企業の米Symantecは7月8日のブログで、詐欺サイトが正規のSSL証明書を使い、正規サイトを装う手口が見つかったと伝えた。ユーザーはSSLがあるために安心して個人情報などを入力してしまうという。 Symantecによると、SSL証明書を悪用した詐欺サイトは過去1カ月の間に急増した。攻撃側は、SSL証明書を取得したWebサーバを1つ乗っ取れば、そのサーバを使って多数のフィッシング詐欺サイトを運営することが可能になり、情報詐取の成功率も高まる。SSLが使われ鍵のアイコンが表示されるために、ユーザーは正規サイトだと思い込んでしまうという。 この手口を使って実際に、大手サイトを装うフィッシング詐欺が発生している。詐欺サイトかどうかを見分けるためにはSSL証明書をチェックするか、認証機能を強化したEV(Extended Validation) SSLをあてにするしかないという。 旧バ
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
自堕落な技術者の日記 : Windowsルート証明書の更新プログラム(2009.02) - livedoor Blog(ブログ)
Microsoft ルート証明書プログラムのメンバ (2009 年 2 月)ルート証明書の更新プログラム。この更新プログラムは、コンピュータにあるルート証明書の一覧を、Microsoft ルート証明書プログラムの一部としてマイクロソフトが承認した一覧に更新します。下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。 rootsupd.exe パッケージ リリース日 : 2009 年 2 月24 日 2009年2月24日にWindowsのルート証明書の更新パッケージが公開されたそうで、Windows Updateでも更新できるようになっているので、更新の前後でどんな感じか見てみました。 #そのために、現状の信頼するルート認証機関を全てごっそりファイルに落とすプログラムを作ったりもしました。 インストールはフツーにWindows Updateの「追加選択(
MD5署名のSSL証明書は案外出回っていない - Mozilla Flux
『EV SSL証明書の普及が偽証明書を防ぐ』では、MD5アルゴリズムに脆弱性が発見され、これで署名されたSSL証明書に偽造の危険があると述べた。 では、実際のところ、MD5署名のSSL証明書はどの程度の割合で存在しているのだろうか。Firefoxのセキュリティ責任者であるJohnathan Nightingale氏によれば、意外にも14%にとどまることが判明した。 調査は、2009年1月15日に実施された。Pythonで書かれたプログラムと公開されているリストを使って100万のサイトを調べ、38万2860のSSL証明書を取得。SQLiteのデータベースを構築するという大がかりなものだ。サンプルの規模、信頼性ともに十分といえよう。 また、朗報と言うべきだろうが、MD5署名のSSL証明書は2009年中に期限切れになるものが多く、2010年末までに大半の期限が切れる。原文のグラフから読み取る限り
自堕落な技術者の日記 : MD5証明書に警告を出すFirefoxアドオン - livedoor Blog(ブログ)
このブログのコメント欄でなひ様に教えてもらった CodeFromThe70s.org SSL BLACKLIST 4.0 Firefoxアドオン SSL BLACKLIST Local Databse Firefoxアドオン http://codefromthe70s.org/sslblacklist.aspx を早速インストールしてみました。 これは、以前ブログでも何回か書いたDebianが生成したOpenSSH,OpenSSL鍵の危殆化問題に対応して、やばい鍵に警告ダイアログを出してくれることを主目的としたプラグインなようですが、MD5withほにゃららの証明書をHTTPSで使おうとした場合にも対応しているようです。 とりあえずの自衛策としてはいいんじゃないでしょうか。 #なんか、間違い探しみたいですか?!(^^;(謎) 警告ダイアログっぽくないですね、、、赤・黄色・黒なんか使ってババ
yet2come: SSLのMD5問題に対する現実解はあるのか?
MD5には深刻な問題があり、極力その利用を避けるべきであることは間違いありません。ただし、今回発表された攻撃法がMD5を使用しているルートCAを直接の対象にしているものではないことには注意する必要があるかと思います。今回示された攻撃手法は、MD5で署名された証明書を基に中間証明書(あるいは別のエンドエンティティ証明書)を偽造するものであり、ルートCAの署名アルゴリズムになにが使われているかは関係がありません。 では、過去に同様な攻撃が既に成功している可能性、もしくは、今回発表された攻撃手法の拡張により発行済の証明書が偽造に利用される可能性まで考慮した場合、やはり該当ルートのルートストアからの削除だけが唯一の対処法なのでしょうか? ここ数日いろいろと考えてみたのですが、ブラウザ側で「中間証明書、もしくはエンドエンティティにMD5が使用されていた場合には警告を表示させる」というのが現実解である
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
個人で使うSSL - ずmemo
PC
