TLS/SSL脆弱性、プロトコルの改訂見通し | エンタープライズ | マイコミジャーナル
The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. 2009年11月に入ってから、さまざまなメディアでTLS/SSLに介入者攻撃を可能にする脆弱性があるのではないかというニュースが報じられるようになった。TLS RFC 5246とそれ以前およびSSLv3とそれ以前のバージョンにリジェネレーションに関して介入者攻撃が実施できる深刻な問題があり、同脆弱性を利用されると通信経路の介入者がプロトコルストリームのはじまりの段階で任意の量のプレインテキストを挿入することが可能になり、さまざまな悪意ある操作できる可能性があるというもの。 この脆弱性が注目されたのは、実装上の問題ではなくプロトコルの設計上の欠陥であり、実装側
インターネットが終焉するわけではない、HTTPS脆弱性に関する5つの誤解 | エンタープライズ | マイコミジャーナル
The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. 2009年11月に入ってからTLS/SSLまわりの脆弱性に関して慌しい動きが続いている。抜本的に問題に対処するわけではないが、OpenSSLでは介入者攻撃が可能になるパターンの処理が実行されないように該当機能を無効化するという対処を取り込んだバージョンを問題が発覚した直後にリリースしている。 こうした状況に対し、Juniper NetworksのSecurity Researchセキュリティマネージャ、Steve Manzuik氏がTransport Security Layer (TLS) Man-In-The-Middle V...において、流布している
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The First Few Milliseconds of an HTTPS Connection
