Outbound Port 80 blocking のご提案
Outbound Port 80 blocking ⽵竹 <takesako@shibuya.pm.org> http://www.janog.gr.jp/meeting/janog31/program/OP80B.html [ ] � MacBook Air ⾏行行 � [ ] � ⾏行行 ⼈人 � [ ] � ⼊入 � [ ] � ⼈人 � [ ] � ⽤用 Google Wireshark ⾯面⼈人 Firesheep � 2010 10⽉月 �Firefox � �Eric Butler⽒氏 � LAN facebook Twitter ⽂文 HTTP Cookie � �PoC⽰示 Firesheep ⾯面 Eric Butler⽒氏⽤用 Firesheep � Web �Amazon.com CNET dropbox Evernote Facebook Flickr Gith
なぜあなたがウェブサイトをHTTPS化するとサイトが遅くなってユーザーが逃げていくのか - 射撃しつつ前転 改
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
サーバの鍵を共有していませんか?
cles::blog 平常心是道 blogs: cles::blog NP_cles() « クルーズコントロールを搭載した新幹線 N700A 登場 :: 龍門 » 2012/08/21 サーバの鍵を共有していませんか? ssh ssl 18 0へぇ IIJ の Security Diary で気になるエントリを見つけたのでメモ。 USENIX Security '12 で発表された「Mining Your Ps and Qs: Detection of Widespread Weak Keys in Network Devices」という論文の内容のようです。 IIJ Security Diary: SSL/TLS, SSH で利用されている公開鍵の多くが意図せず他のサイトと秘密鍵を共有している問題 この論文では、インターネット上の IPv4 の port 番号 443 (SSL/T
SSL is not about encryption
これはTroy Hunt氏によるSSL is not about encryptionの和訳である。@ten_forward氏による翻訳もあるが訳がわかりづらいので、ほとんど参考にせずに翻訳し直した。 SSL is not about encryption. は The basic purpose of SSL is not encryption. のように訳す。同様な文例に Copyright is not about copying. がある。@ten_forward氏による「SSLは暗号化のためのものではありません」は誤訳である。ここでは「主目的ではない」と訳す。 SSLの主目的は暗号化ではない SSLの主目的は保証することである。サイトが本物であることにある程度の信頼性を与えることで、データの送受信を行う際にデータが横取りされることも改ざんされることもなく意図した相手に届くと確信で
nginx で SSL リバースプロキシを構築 - WebOS Goodies
最近あまりネタがないのでが、このままだとまた何週間も投稿なしになりそうなので、以前やった nginx による SSL リバースプロキシの構築方法を備忘録的に書いてみます。開発目的で GAE の dev_appserver.py を SSL 化するために使っただけですが、パッケージシステム等を使わずにソースからビルドし、一般ユーザー権限でインストールする方法にしています。ごく基本的な内容ですが、参考にしていただければ幸いです。 nginx とは nginx は Tornado などと同様の非同期イベントドリブンモデルを採用した HTTP サーバーです。 BSD に似たライセンスのオープンソースソフトウェアとして公開されています。プロセス・スレッドモデルを採用した Apache などよりも多数のコネクションを効率よく処理できるため、多くの高負荷サイトで採用されています。現在 Apache, I
nginx連載6回目: nginxの設定、その4 - TLS/SSLの設定
株式会社ハートビーツのITインフラエンジニアがお届けするnginx連載の6回目。今回はnginxのTLS/SSLについての設定を確認していきます。以降、"TLS/SSL"のことを単に"SSL"と書きます。 nginx.orgのパッケージからインストールしたnginxが提供している設定ファイルexample_ssl.confをサンプルとして説明します。なお、一部修正をしております。 server { listen 443; server_name example.jp; ssl on; ssl_certificate /etc/nginx/cert.pem; ssl_certificate_key /etc/nginx/cert.key; ssl_protocols SSLv3 TLSv1; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ci
【レポート】HTTPSにまつわる7つの誤解 | エンタープライズ | マイコミジャーナル
HttpWatch is an HTTP viewer and debugger that integrates with IE and Firefox to provide seamless HTTP and HTTPS monitoring without leaving the browser window. ブラウザの通信内容を解析してグラフィカルに操作できるようにするアドオンHttpWatchのブログに、HTTPSにまつわる7つのよく誤解される内容が掲載されている。HTTPSに関する説明として参考になる。紹介されている誤解は次のとおり。 1. ログインページにだけHTTPSが必要 Firesheepの登場で注目されるようになったように、ログインページにだけHTTPSを使っている場合、パブリックWifiなどを使う場合にHTTPセッションハイジャックを受ける可能性がある。ログインペー
SSLを更新したらエラーコード:sec_error_unknown_issuerが表示された(ベリサイン証明書にて)
先月SSLの更新を行ったところ、FireFoxにてsec_error_unknown_issuerという エラーがでました。 以下解決方法です。 どうやら、ベリサインにて2010年10月10日に仕様変更があり、それ以降に申請された SSLの中間証明書は従来とは別のものになっていたことが原因のようです。 参考:中間CA証明書のインストールについて 新仕様の証明書か否かは以下の方法で確認しました。 ※今回確認したのはセキュア・サーバーID用のものです。 1. SSL適用画面で「ページ情報」を表示させ、「証明書を表示」ボタンを押します。 → 証明書ビューアが表示されます。 2. 証明書ビューアの「一般」タグの「発行者」>「一般名称(CN)」と確認します。 証明書が新仕様、旧来仕様の場合それぞれ以下のように表示されます。 新仕様: VeriSign Class 3 Secure Server CA
stunnel を使って irssi を SSL 化する方法 - KAYAC Engineers' Blog
最近、自由が丘のキャットファイト(リアル猫的な意味で)が元気だなぁ、と感じている、技術部のtaiyohです。 弊社長田が先ほど「stone を使って tiarra を SSL 化する方法」というエントリをアップしていましたが、僕は違うやり方だなぁ、ということで、書き残しておきます。 まず、irc proxyにはirssiを使用しています。 このあたりの環境構築方法については、@hokacchaのブログの神エントリ「irssiをインストールしてからやったことのまとめ」をご参照いただきたいと思います。 さて、肝心の通信のSSL化についてですが、表題にもありますが、僕はstunnelというツールを使っています。 正直なところ、stoneとの違いがよく分かっていません。stoneがプロセス単位でポートを立てるのに対して、stunnelは設定ファイルを使って、1プロセスでポートの管理をすべて行います
小悪魔女子大生のサーバエンジニア日記
ECC版SSL証明書インストール体験記その4 02.08.13 / 未分類 / Author: aico / Comments: (0) では、いよいよ発行されたECC証明書をインストールしましょう! 実はECC版SSL証明書は現在、ブラウザ・OSによっては対応していないものも多いので、 対応していないものはRSAの証明書を読むように、ECCとRSAのハイブリッド構成をすることが出来ます。 そしてなんと、ECCの証明書を申請するとRSAの証明書も一緒にもらうことが出来ます(ベリサインさん太っ腹!) なので今回はECCとRSAのハイブリッド構成を組みつつ証明書のインストールを行います! まずはベリサインのサイトで中間証明書を確認しましょう。 発行されたCRT、中間証明書、秘密鍵は必ず対になっている必要があります。 対になっていないとエラーになってしまいます。。 小悪魔ブログは最初、中間証明書
OpenSSL 1.0.0登場、初のメジャーバージョン | エンタープライズ | マイコミジャーナル
A robust, commercial-grade, full-featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a full-strength general purpose cryptography library. OpenSSLプロジェクトチームは29日(米国時間)、OpenSSLの最新版にして初のメジャーバージョンとなるOpenSSL 1.0.0を公開した。OpenSSL: Source, Tarballsにおいて最新版をダウンロード可能。一つ前のリリースバージョンとなる0.9.8nがリリースされたのはさらに5日ほど前の24日(米国時間)だが、さ
RedHat の openssl がキモい - どさにっき
2010年3月4日(木) ■ $GENERATE _ BIND で使うゾーンファイルの書式は BIND が勝手に決めたわけではなく、実は RFCで規格化されている(なので、BIND だけじゃなくて NSD でも同じ書式。djbdns は独自形式だけど)。 _ とはいえ、BIND はそれを生のまま使ってるわけではなく、勝手な拡張もしている。 $GENERATEとか。これが何モノかというと、連番を自動生成するためのもの。 $GENERATE 1-10 host-$ IN A 192.0.2.$ ↑と↓は同義。 host-1 IN A 192.0.2.1 host-2 IN A 192.0.2.2 host-3 IN A 192.0.2.3 ... host-10 IN A 192.0.2.10 とっても楽ちん。ただし、$GENERATE はあくまでゾーンファイルの記述を簡略化するだけで、DNS
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
Webの表示速度を遅くする「SSLハンドシェイク」とは
Webの表示速度を遅くする「SSLハンドシェイク」とは:現場にキく、Webシステムの問題解決ノウハウ(3) 本連載は、日立製作所が提供するアプリケーションサーバ「Cosminexus」の開発担当者へのインタビューを通じて、Webシステムにおける、さまざまな問題/トラブルの解決に効くノウハウや注意点を紹介していく。現在起きている問題の解決や、今後の開発のご参考に(編集部) 知っていますか? SSLハンドシェイク Webアプリケーションで提供するWebページにSSLを適用した場合、SSLでは通信相手の認証/通信内容の暗号化などの負荷の高い処理が実行されるため、WebページのWebブラウザに表示される速度が遅くなることがある。この現象は、SSLセッションを再利用して、「SSLハンドシェイク」(上記の認証/暗号化を含んだ一連の処理)を簡略化することで、解決できる場合がある。 今回は、それらの問題を
apache+mod_sslでSSL
SHA2の証明書作成について 2015.10.10追記 SSL証明書の暗号アルゴリズムがSHA-1からSHA-2(sha256)へ変更されているところです。 SHA-2を使用してのオレオレ(自己証明)証明書作成手順をこちらのページで説明してます。 検証環境 OS:CentOS 4.4 httpd: 2.0.52-28.ent.centos4 mod_ssl-2.0.52-28.ent.centos4 openssl-0.9.7a-43.10 apache+mod_sslによるSSL設定 apache+mod_sslのSSL対応設定です。 apacheはrpmでインストールされている環境で検証しています。 アプリケーションの確認 SSLの設定に必要なmod_sslとopensslがインストールされているか確認します。 mod_sslの確認 # rpm -qa | grep mod_ssl m
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
SSLでName Based Virtual Hostをするには
cles::blog 平常心是道 blogs: cles::blog NP_cles() « この仕事には、過酷なバグに負けない心が必要です :: 髪をhackしました » 2007/07/07 SSLでName Based Virtual Hostをするには httpd ssl rfc 212 3へぇ もう4年位前になりますが、あるサイトのリリース前夜にSSLでName Based Virtual Hostを設定しようとしていてはまっていたエンジニアにそれができないことを教えてあげて、とても感謝されたということがありました。この件は今でも飲み会などでネタになるくらいの出来事だったので、自分自身にもそれが成功体験として残ってしまっていて「SSLでName Based Virtual Hostは使えない」とステレオタイプに考えてしまっていたんですがその知識はどうやら正確ではなかったよう
Runtime error - webframe
Error message : Directory is not found or not writable (DATA_DIR) Directory is not found or not writable (DIFF_DIR) Directory is not found or not writable (BACKUP_DIR) Directory is not found or not writable (CACHE_DIR) Site admin: whitestar Copyright © 2006-2023 whitestar. All Rights Reserved. Icons powered by famfamfam. PukiWiki 1.5.0 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL
遅すぎる原因はHTTPSのSSLハンドシェーク | エンタープライズ | マイコミジャーナル
Java/.NET Performance Monitoring, Analysis, Diagnostics & Profiling - Application Performance Management Andreas Grabner氏が101 on HTTPS Web Site Performance Impact (dynaTrace Blog)において、HTTPSを使ったサイトのパフォーマンスを改善した事例を紹介している。Andreas Grabner氏は最近、onLoadイベントが発生するまで20秒ほどかかるサイトの分析を実施したという。このスタートアップのページには重たい画像もアニメーションも、処理の重いJavaScriptもないにも関わらず、とても重たいページだったという。このページは70%がSSLハンドシェークの処理に費やされていたとされ、これを改善することで最終的に1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
