通信の安全を守るためにエンジニアができることhttp://secnight.connpass.com/event/30672/ http://togetter.com/li/974201 シャノン技術ブログ http://shanon-tech.blogspot.jp/ Read less
Android アプリで意図しないクリアテキスト トラフィックへの逆行を防ぐ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
リスクファインダーブログ: AndroidMで追加された、クリアテキスト機能について
Google Developer Blogの方で先日、「Protecting against unintentional regressions to cleartext traffic in your Android apps」という記事が投稿されました。セキュリティに関する事ですので、翻訳をしました。 要約すると、Android N のNetwork Security Config機能でこのあたりまた拡張されるのですが、Android Mでも平文通信を禁止するクリアテキスト機能は使用可能で、サードパーティのライブラリ等は影響うけるからそろそろ対応してね。という感じです。 クリアテキストという用語はあまり聞きなれない用語になりますが、「平文」と置き換えるのが一番いいと思います。クリアテキスト通信→平文通信となります。 検証等、動作確認はしていませんが、以下翻訳(超訳?)です。興味がある方
グーグル、信頼できない認証局のリストを作成
Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2016-03-25 17:06 Googleは、信頼できない公開鍵証明書認証局を確認できるようにする仕組みを強化した。 この仕組みは、同社が提案した電子証明書追跡システムで、「Certificate Transparency」(CT、証明書の透明性)と呼ばれている。2015年にSymantecが一部のGoogleドメインに対して発行したような、不正に発行されたSSL証明書からChromeユーザーを守ることができる。 この事件はGoogleから強い反発を呼び、同社はSymantecに対して、2016年6月1日までに、発行するすべての証明書についてGoogleのChromium CTポリシーに準拠する形でCTにログを残すことを要求し、これに応じなければ、同社が発行する証明書を利用するウェブサイトを、Ch
「Let's Encrypt」、無料TLS証明書の発行数が100万件を突破
Internet Security Research Group(ISRG)が運営する無料の証明書発行サービス「Let's Encrypt」が発行した無料TLS証明書の数が、パブリックベータになってからわずか3カ月と5日で100万件に達した。電子フロンティア財団(EFF)が米国時間3月8日午前のブログ記事で発表した。 EFFやAkamai Technologies、Mozillaなどが支援するLet's Encryptプロジェクトは、ドメインの暗号化を促進するため、SSL/TLS証明書を無料で発行している。 自動で取得できるLet's Encryptの無料証明書はTLSプロトコルを実装し、IdenTrustとの提携を通してクロス署名を行うことで、証明書の信頼性を維持している。 Let's Encryptは2015年9月、ベータプログラムの一環として、最初の証明書を発行した。当時、ブラウザは
Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 | スラド セキュリティ
Firefox 43で1月1日よりSHA-1を使って署名された新規の証明書のサポートが中止された。しかし、これによって「中間者攻撃的な挙動を行うデバイス」を利用しているユーザーがHTTPSを利用できない状況になったことから、Firefox 43.0.4では一時的にSHA-1を利用する証明書のサポートを復活させることにしたという(ITmedia、Mozilla Security Blog)。 いくつかのセキュリティソフトやウイルス対策ソフトなどが「中間者攻撃的な挙動を行うデバイス」に含まれる模様。こういったソフトウェアはHTTPSで保護された通信内容にアクセスするために独自に作成した証明書を利用するが、その証明書がSHA-1を利用している場合問題が発生するという。
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
「常時SSL」の疑問に答えよう、どうすればできるか
簡単に解説すると、安価な証明書はそのほとんどが「ドメイン認証」であり、通常は個人利用が多い。その次が法的な実在証明を行う証明であり、一般企業の多くがこの方式を採用している。最も厳格なものは以前にも解説したが「EV SSL」だ。「物理的実在証明」と呼ばれている。安全な場合はWebブラウザのアドレスバーが緑色に変化するので、初心者が見ても分かりやすいと評判だ。 EV SSL証明書は価格が少し高いものの、顧客の安全を考慮するなら、十分に検討に値するものだろう。定価ベースで年間に約7万~10万円ほど高いだけだ。月1万円にも満たない価格差でより大きな安心感を得られると思えるが、あまり普及していないのは残念である。証明書の処理については、確かに厳密な確認を行うものであるほど時間がかかると想定される。だが、体感ではユーザーが全く気付かない場合がほとんどだろう。 また、「証明書失効リスト」(CRL)をチェ
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
【セキュリティ ニュース】フィルタリング製品が不正なルート証明書を使用 - 秘密鍵が漏洩(1ページ目 / 全1ページ):Security NEXT
Content Watchが提供するフィルタリングソフトの「Net Nanny」が、問題あるルート証明書を端末内にインストールすることがわかったとして、セキュリティ機関が注意を喚起した。不正なサイトを信頼したり、暗号化通信が盗聴されるおそれがある。 同製品は、通信を中継するプロクシとルート証明書を端末内にインストールするが、製品で共通の秘密鍵とルート証明書を使用。くわえて秘密鍵はソフト内部に平文で保存されており、取り出すことが可能だという。 同製品利用者は、この秘密鍵によって作成された自己署名証明書によるHTTPS通信を信頼してしまうため、フィッシングサイトに用いられたり、暗号化通信の盗聴などに悪用されるおそれがある。 セキュリティ機関は、「同7.2.4.2」において脆弱性を確認しており、他バージョンも影響を受けるおそれがあると指摘。 4月21日の段階で対策はわかっておらず、セキュリティ機
Google、広告でもHTTPS化を推進
Google Display NetworkやDoubleClickパブリッシャーに配信される広告の大部分が2015年6月30日までに暗号化されると発表した。 WebのHTTPS化を推進する米Googleは4月17日、同社の広告ネットワーク経由で配信する広告の大部分を暗号化すると発表した。 Googleは、Webサイトのセキュリティを強化する目的で「HTTPS Everywhere」を提唱。Web管理者に対してHTTPSの実装を促し、検索ランキングにも反映させている。 今回はこの対象を広告にも広げ、2015年6月30日までに、Google Display NetworkとAdMobおよびDoubleClickパブリッシャーに配信されるモバイル、ビデオ、デスクトップディスプレイ広告の大部分が暗号化されると発表した。 また、AdWordsやDoubleClickなど同社の広告掲載サービスを利用
中国認証局がGoogleの決定を非難、証明書の失効を巡り
米Googleは現地時間2015年4月1日、中国インターネット情報センター(CNNIC:中国互聯網絡信息中心)の証明書を今後信用しないと発表した。複数の海外メディアの報道によると、CNNICは同社の決定を非難している。 同社は3月20日、複数のGoogleドメインに対して不正なデジタル証明書が発行されていることを確認。証明書は「MCS Holdings」というエジプト企業の中間認証局(CA)から発行された。中間CA証明書はCNNICが発行したもので、CNNICはすべての主要ルートストアに含まれているため、ほとんどのブラウザーとOSがその不正デジタル証明書を信用してしまう危険性がある。GoogleはただちにCNNICと他の主要ブラウザーに連絡し、MCS Holdingsのデジタル証明書を遮断する措置をとった。 GoogleはCNNICと共同で調査を行った結果、今後CNNICが新たに発行するル
GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる
Google ChromeとMozillaのFirefoxが、中国の認証局(CA)である「CNNIC」が発行する証明書を「信頼できないもの」として一時的に失効させることを発表しました。 Google Online Security Blog: Maintaining digital certificate security http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html Distrusting New CNNIC Certificates | Mozilla Security Blog https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/ Goo
銀行に期待した「常時SSL」 その後……
[凡例] HTTPS利用可能:銀行のTOPページにHTTPSでアクセスできるか? HTTPだと強制的にHTTPS:HTTPでTOPページにアクセスすると、強制的にHTTPSに変更されるか? Google検索からHTTPS:Googleで銀行名を検索し、その結果からTOPページにアクセスするとHTTPSになっているか? 上記の銀行に編集部を通じて質問をしたところ、一部を除いて回答をいただいた。回答を得られなかった銀行については、上記の表では行名を伏せている。回答いただいた銀行のコメントを紹介したい。 新生銀行 「Webサイト『www.shinseibank.com』では現時点でHTTP通信によるセキュリティ面でのトラブルや被害などは確認されておりません。SSL暗号化通信を全面導入する場合は、その効果に加えて導入による影響を慎重に検討する必要があると考えており、技術動向も注視して包括的に精査を
「Superfish」以外にもセキュリティを脅かすソフトが複数--研究者ら
Lenovoは今後製品に「Superfish」をプレロードしないことを約束した。また、自社製コンピュータから同ソフトウェアの痕跡すべてを削除するSuperfish削除ツールをリリースしている。 FacebookのThreat Infrastructureチームが米国時間2月20日に公表したSuperfishの分析結果によると、PC製品にアプリケーションがプリロードされていることは珍しくはないが、Superfishが他とは異なるのは、SSL/TLSを用いたウェブサイト接続を傍受できる能力だという。Superfishは、コンテンツの傍受が可能で、Komodiaからのサードパーティーライブラリを使って「Windowsのネットワーキングスタックを修正し、新しいルート認証局(CA)をインストール」する。その一方で自身がSSLの有効なあらゆるウェブサイトになりすますことを可能にする。 このKomodi
ブラウザのプライバシーモードを無視してしまう「スーパークッキー」とは?
ウェブサイトを閲覧するにはInternet ExplorerやGoogle Chrome、Firefox、Safariなどのウェブブラウザを使用する必要があり、これらのウェブブラウザにはプライバシー情報を保護するためにブラウジング時の履歴やCookie(クッキー)、一時ファイルなどを残さないプライバシーモードが存在します。しかし、プライバシーモードを使用してもこれらの機能を無視してユーザーの行動をトラッキングしてしまう「スーパークッキー」という手法が新たに生み出されました。 Browsing in privacy mode? Super Cookies can track you anyway | Ars Technica http://arstechnica.com/security/2015/01/browsing-in-privacy-mode-super-cookies-can-t
HTTP接続は「安全でない」と明示すべし――Googleが提案
HTTPSを使ったセキュアな接続の普及を目指す米Googleが、ユーザーエージェント(UA)の仕様を段階的に変更して、通信が暗号化されないHTTP接続に対して「安全でない」と明示することを提案している。 この提案の狙いは、「HTTPには情報セキュリティ対策が施されていない」という事実を、もっとはっきりユーザーに示すことにあるとGoogleは説明。「Web上のデータ通信はすべてセキュアでなければならない。情報セキュリティが存在しない場合はそのことを明示して、ユーザーが情報を得たうえで対応を決められるようにしなければならない」と主張する。 背景として米国家安全保障局(NSA)などがネットの監視活動を行っていると伝えられた事例を列挙し、「Web上では改ざんや監視などの攻撃が、理論上ではなく実際に横行している」とした。 具体的にはセキュリティ状況を3段階に分類し、有効なHTTPSなどを使っている場
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、どこでもHTTPSをBloggerにも拡大、blogspotドメインの全ブログにHTTPSバージョン 
「サンドボックスの先を行く技術でハッカーに対抗する」――、チェック・ポイント新社長
