タグ

関連タグで絞り込む (12)

タグの絞り込みを解除

sslに関するcubed-lのブックマーク (76)

  • EV SSL証明書、誕生から1年で採用はわずか0.5%~英NetCraft調査

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

    cubed-l
    cubed-l 2008/02/18
    リンク

  • 携帯電話とSSLルート証明書

    おことわり DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。 SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。 DoCoMo DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。 VeriSign Class 3 Primary CA VeriSign Class 3 Primary CA G2 Verisign/RSA Secure Server CA GTE CyberTrust Root GTE CyberTrust Global Root FOMA901i/700i/8

  • 「Gmail」の脆弱性、「Defcon」で暴露される - グーグリングGoogle

    「Gmail」に特有の脆弱性というわけではなく、ネットワークの外側からでは悪用するのも難しいが、Robert Graham氏が「Defcon」で行ったGmailのセッションハイジャック攻撃のデモンストレーションでは、攻撃者がネットワークトラフィックを盗聴し、クッキーを盗むことで、ユーザーアカウントが乗っ取られる可能性が示された。デモでは、George Ou氏がハイジャック用に作成した電子メールアドレスが利用されたが、乗っ取られるまではあっという間だった。攻撃者はクリックして進めていくインターフェースから同アカウントにアクセスし、メッセージを送って、わずか数秒で乗っ取りを成功させたのである。 今回のデモでは、安全でないネットワークトラフィックが、いかに簡単にごく単純なセッションハイジャックを引き起こすかが発表された。Gmailアカウントを自分と同じネットワーク内にいる第三者に乗っ取られないよ

    「Gmail」の脆弱性、「Defcon」で暴露される - グーグリングGoogle

  • Web 業界に HTTPS の知識は普及するか | 水無月ばけらのえび日記

    「銀行2.0はまだ来ない (takagi-hiromitsu.jp)」。 銀行に限らず「SSL2.0 と SSL3.0 を両方有効にしろ」という指示は結構あるのですが、そもそも、これらを両方とも有効にさせようとしている時点で何かがおかしいわけで……。おそらく、その指示を書いた人は「SSLを使っているらしい」という漠然とした理解しかない状態で、ひとまず「SSL」と名のつく設定を全部有効にさせようとしたのでしょう。 ※もちろん、SSL という名前がつかない「TLS 1.0」を有効にするような指示は思いつきません。:-) この手の記述の場合、リンクポリシーのケースと違って法務から文章が出てきたりはしないので、Web屋の責任である可能性が高いです。残念ながら、Web 業界には SSL/TLS について一通り理解している人って少ないと思うのですよね。少し前、某大手 Web屋 (弊社ではない) が作っ

  • 高木浩光@自宅の日記 - IE 7の普及でサーバ証明書失効によるトラブルが表面化する

    ■ IE 7の普及でサーバ証明書失効によるトラブルが表面化する Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。 Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。 この影響が出始めているようだ。 QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日 ビスタに変えてから、XPの時に普通に入れていたサ

  • 128bit SSL 最強伝説 - oldriverの日記

    高木浩光氏が銀行のフィッシング解説の出来の悪さについて書いていた(http://takagi-hiromitsu.jp/diary/20070331.html#p01)。それで銀行のサイトをつらつらと見ていたんですが、暗号化強度についての言及について、気付いた事があったので、書きます。(フィッシングとは関係ありません。) りそな銀行のサイトより。強調は筆者。 セキュリティ安心講座/質問集1 http://net.resona-gr.co.jp/resonabank/red/inetbank/security/qa01.html Q1 インターネットって情報が漏れないか心配なのですが…。 A1 りそなダイレクトでは強力な暗号化で対応しています。 (中略) 「りそなダイレクト」では、現在、一般に用いられている中で最強の128ビット暗号化システムによりお客さまの情報を保護しています。 最新のセキ

    128bit SSL 最強伝説 - oldriverの日記

  • Dan Kaminsky’s SSL Hell

    Here is another segment from Dan Kaminsky’s talk at Toorcon 8. You can download the high quality version here. He discovered approximately 1 in 3 deployed SSL boxes share a private key. This means that you can buy a box off of eBay and read encrypted SSL traffic from any identical box. He has also got a trick for making bank logins more secure.

    Dan Kaminsky’s SSL Hell
    cubed-l
    cubed-l 2007/02/13
    リンク

  • 5分で絶対に分かるSSL-VPN − @IT

    SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3

    5分で絶対に分かるSSL-VPN − @IT

  • 総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件, 「安全な通信を行うための証明書」と呼ぶ悪習 - [ぴ](2006-09-28)

    _ [システム運用] 総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件 Windows(R) Updateによる電子政府システム向けルート証明書の配信を開始@Microsoft マイクロソフト、電子政府システムのルート証明書をWindows Updateで配布@INTERNET Watch Windows Updateで電子政府システム向けルート証明書の配信を開始@ITmedia マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布@ITPro (日経紙では「『電子政府』手続き簡略化」という見出しで、一見意味不明な内容でしたが、こっちの記事はストレートですね) 政府・官公庁の証明書をMSがWindows Updateで配布@/.J というわけで、高木浩光@自宅の日記を中心に糾弾されてきた GPKI/LGPKI のルート証明書配布

    総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件, 「安全な通信を行うための証明書」と呼ぶ悪習 - [ぴ](2006-09-28)

  • マイクロソフト - PressPass ホーム - 製品画像ダウンロード

    すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画テレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform W

    マイクロソフト - PressPass ホーム - 製品画像ダウンロード
    cubed-l
    cubed-l 2006/09/28
    でもHTTPじゃん
    リンク

  • マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布

    マイクロソフトは、電子政府や地方公共団体のルート証明書をWindows Updateを使って配布し始めた。この証明書は、各省庁が提供している電子申請サービスなどを利用する際にあらかじめパソコンに組み込んでおく必要があるもの。電子政府システムの利便を向上させるため、内閣官房がマイクロソフトに配布を要請していた。 これまで、電子政府システムを利用するためには、ユーザーが自分で電子証明書をパソコンに組み込んでおく必要があった。手間がかかるため、システム利用を阻む要因の一つとなっていた。Windows Updateのインフラを利用し、自動的にインストールできるようにすることで、作業負担をなくす。 すでにマイクロソフトは、9月1日からWindows XP(SP1以上)とWindows Server 2003(SP1)向けに配布していた。27日にWindows 2000(SP4)向けにも配布を開始した

    マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布

  • Windows Updateで電子政府システム向けルート証明書の配信を開始

    マイクロソフトは、電子政府システムや地方公共団体の各種システムを利用する際に不可欠なルート証明書の配布を、9月27日からWindows Updateを利用して開始する。 マイクロソフトは、電子政府システムや地方公共団体の各種システムを安全に利用する際に不可欠なルート証明書の配布を、9月27日からすべてのWindows OSを対象に、Windows Updateで行う。 現在の電子政府システムでは、利用を開始する前に必ず利用者がWebサイトの正当性を証明する「ルート証明書」をダウンロードしてインストールするという手順を踏む必要がある。このため、システム利用が伸び悩んでいる原因の一つとされてきた。 今春、マイクロソフトへ日政府からの協力要請が寄せられ、同社はこれに基づいて対応準備を進め、当該ルート証明書の配布をWindows XPおよびWindows Server 2003を対象に9月1日、

    Windows Updateで電子政府システム向けルート証明書の配信を開始
    cubed-l
    cubed-l 2006/09/28
    おお。政府もちゃんと活動してたんだな/21:41書き換え。ルートCA証明書をHTTPで配信ってダメじゃん
    リンク

  • http://japan.internet.com/ecnews/20060522/11.html

  • 高木浩光@自宅の日記 - オレオレ証明書の区分 改訂版

    ■ オレオレ証明書の区分 改訂版 はてなキーワードに「オレオレ証明書」の項目ができていた。 ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」 という定義は私の定義とは異なる。自己署名とは限らないし、 不適切な場面とも限らないからだ。 そのためその下にある第一種〜第五種の区分の記述と矛盾が生じている。 私の定義では、クライアント側で認証パスを辿れない(検証できない)証明書 のすべてをオレオレ証明書としている。それは、サーバ側の設定ミスかもしれ ないし、設定が正しくても今まさに通信路上で攻撃を受けているのかもしれな い。証明書の発行の意図に関係なく、クライアントから見れば等しく「オレオ レ」と言っているようにしか見えない。 攻撃を受けている場合を除いて、クライアント側でオレオレ証明書となる場合 の、その原因別の区分を9月3日の注釈で書 いていた。他に第六種もあったので

  • “本物”のSSL証明書を持つフィッシング・サイト出現

    物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より) 米SANS Instituteや米Websenseは現地時間2月13日,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行されたSSL用サーバー証明書(デジタル証明書)を持つ偽サイトが確認されたとして注意を呼びかけた(関連記事)。 確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽

    “本物”のSSL証明書を持つフィッシング・サイト出現

  • ウェブサイトの信頼性を高める新たな試み

    ウェブブラウザの下部に表示される鍵型をしたアイコンへの信頼性が、緩い基準とずさんな監督のために低下してしまっているが、今年認証基準の強化とブラウザのアップデートが実施されれば、この信頼性も再び向上することになるだろう。 この黄色い鍵のアイコンは、アクセス中のウェブサイトとブラウザとのデータのやりとりが暗号化されており、認証機関と呼ばれる第3者組織によってそのサイトが物であると確認/保証されていることを示している。しかし近頃では認証の基準が緩くなっていることから、鍵アイコンが表示されていても、そのサイトが安全であるとは言えなくなっている。 この問題を解決するために、SSL(Secure Socket Layer)証明書を発行する複数の企業が各ウェブブラウザの開発元と協力して、「信頼性の高い」新しいタイプの証明書を開発しようとしている。これらの企業は「CA Forum」と呼ばれる非公式な組織

    ウェブサイトの信頼性を高める新たな試み
    cubed-l
    cubed-l 2006/01/24
    SSL証明書の拡張領域に審査方式を示すフラグでも入れるのかな?それによってブラウザの表示も変えると。いいね。
    リンク
  • 前のページ 1 2 3 4

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.