SSL/TLS(Part.3)
これまで、暗号化アルゴリズムなどの前提知識はさほど必要としない部分を中心に説明してきたが、ここより先には、少しずつ暗号アルゴリズムに絡んだ話が増えてくる。ただ、RFCなどでは数式で表現されている内容も、できるだけ図示するように心掛け、可能な限りかみ砕いて説明していくので、あきらめずに読み進んでいただければと思う。 SSL/TLSにおけるセッションとコネクション SSL/TLSにおけるサーバとクライアント間での暗号化通信では、基本的にセッション型のモデルを用いる。通信の信頼性を高めるという考えに立てば、これは至って正当な考え方である。 セッション型の通信管理モデルを用いる場合、プロトコル内でセッション管理を行う必要がある。SSL/TLSでは、このために「セッション」と「コネクション」という、2つの管理すべき接続状態を規定している。最初にこの2者について説明しよう。 SSL/TLSを使い暗号化
Webの表示速度を遅くする「SSLハンドシェイク」とは
Webの表示速度を遅くする「SSLハンドシェイク」とは:現場にキく、Webシステムの問題解決ノウハウ(3) 本連載は、日立製作所が提供するアプリケーションサーバ「Cosminexus」の開発担当者へのインタビューを通じて、Webシステムにおける、さまざまな問題/トラブルの解決に効くノウハウや注意点を紹介していく。現在起きている問題の解決や、今後の開発のご参考に(編集部) 知っていますか? SSLハンドシェイク Webアプリケーションで提供するWebページにSSLを適用した場合、SSLでは通信相手の認証/通信内容の暗号化などの負荷の高い処理が実行されるため、WebページのWebブラウザに表示される速度が遅くなることがある。この現象は、SSLセッションを再利用して、「SSLハンドシェイク」(上記の認証/暗号化を含んだ一連の処理)を簡略化することで、解決できる場合がある。 今回は、それらの問題を
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第4章 セッション対策:セッション乗っ取り:#3 https:の適切な適用
第4章 セッション対策 セッション乗っ取り:#3 https:の適切な適用 https:による通信経路の防護 Webアプリケーションには、パスワード入力、個人情報表示、クレジットカード番号の取り扱い等、他人に通信を傍受されたくない場面をもつものがあり、それらのWebページではhttp:ではなくhttps:のスキームをもつ URLが使われる。 経路の守秘性を確保するために、HTTPと共に TLS (Transport Layer Security) のセキュアプロトコルが使われる必要がある。 (1) セキュアプロトコルで守るべきもの https:のセキュアプロトコルで守るべきものには次の2種類がある。 ユーザが目にする重要情報 セッションID パスワード、個人情報、クレジットカード番号、ショッピング明細等、[1] に該当する情報が他人に漏れてはならないのは分かりやすい。 しかし、ユーザの目に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セッション管理-SSL Session-ID
