タグ

sslに関するhokacchaのブックマーク (19)

  • 自社サーバと交信するスマホアプリにおけるサーバ証明書の発行手法について(SSL Pinningと独自CA再考)

    ■背景 自社のサーバと通信する自社アプリについて、来不要であるにも関わらず他社であるCAに認証情報の管理を委託することが多いわけですが、CAが証明書を誤発行した結果情報漏洩が発生したとして、その責任は自社にはないと主張できるのか、もう一度考えなおしたほうがいいんじゃないかと思うんです — Kazuho Oku (@kazuho) July 15, 2014 .@ockeghem @smbd @ando_Tw スマホアプリの提供においてはコードの署名鍵を安全に管理することが求められますが、その前提において通信相手の認証管理をCAに委託することにどれほどの意味があるんでしょう — Kazuho Oku (@kazuho) July 14, 2014 ■他社CAは信頼できるのか 特定のCAにpinningするのはしないより安全だけど、そもそも誤発行しないCAなんてあるのかという議論は重要。見知

  • Heart Bleedを読んだ - The first cry of Atom

    int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct

  • Heartbleed Bug

    The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private network

  • Y!J API が止まった日 - GlobalSign の Root 証明書切れから学んだこと - OAuth.jp

    昨日あたりから、Yahoo! Wallet や YConnect といった、Yahoo! Japan の API にアクセスできなくなったって人、ちらほらいるかもしれませんね。 僕もちょっとそういうケース見かけました。 なんか Yahoo! Japan がポカしちゃったの?とか、まぁ昨日まで健康に動いてたシステムが突然 Yahoo! Japan の API にアクセスできなくなっちゃったんだし、そらそう思うのもムリはない。 が、今回のケース、Yahoo! は全く悪くない! プライバシーフリークはどうかと思うがな!! では早速、今回起こったことを、振り返ってみましょう。 Yahoo! API にアクセスできなくなった Yahoo! Japan は、yahoo.co.jp 以外にも、CDN 用や API 用など、用途ごとにいくつかのドメインを持ってます。 今回止まったのは、その中の API

  • herokuにて独自ドメインのアプリでSSLを使う(SNI SSL) | Offside

    herokuでSSLを使う場合、以下の4つのプランがあります。 Piggyback SSL (無料) SNI SSL ($5/月) Hostname Based SSL ($20/月) IP Based Custom SSL ($100/月) herokuで動かすアプリケーションが、heroku.comドメインで良い場合はPiggyback SSLを使うことができますが、独自ドメインでSSLを使う場合、他のプランを選択する必要があります。今回は最も安価なSNI SSLについて調べてみました。 そもそも、SNIとは何か?ですが、http://www.ssl-secure.jp/faq.html#about_sniによると、 SNI拡張は、「名前ベースのバーチャルホスト」で複数のSSL環境を利用出来るようにする技術です。 従来、バーチャルホスト環境でSSLを利用するには「IPベースのバーチャル

  • Heroku SSL | Heroku Dev Center

    SSL is a cryptographic protocol that provides end-to-end encryption and integrity for all web requests. Enable SSL on apps that transmit sensitive data to ensure all information is transmitted securely. Heroku SSL is a combination of features that enables SSL for all Heroku apps. Heroku SSL uses Server Name Indication (SNI), an extension of the widely supported TLS protocol. Certificate Options Ap

    Heroku SSL | Heroku Dev Center
  • How To Setup SSL on Heroku - @ayb's Posterous

  • iOS版のPathはSSLの証明書エラーを無視している → 修正された - 金利0無利息キャッシング – キャッシングできます - subtech

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

    iOS版のPathはSSLの証明書エラーを無視している → 修正された - 金利0無利息キャッシング – キャッシングできます - subtech
  • Furlでhttpsリクエストがtimeoutになる場合がある件

    FUJI Goro @__gfx__ なぜだろう。環境は?逆にbufsizeが小さいともっと少なくても問題がおきるのかな? / Furlで躓いてる途中 - すぎゃーんメモ http://t.co/UU4TWm4 2011-08-22 22:04:04 すぎゃーん💯 @sugyan @__gfx__ あ、自分のMacローカル環境でしか試してないです。外部サイトとかでもbufsize小さくすると起こることがあったんですが うまく再現できず、、 2011-08-22 22:11:54

    Furlでhttpsリクエストがtimeoutになる場合がある件
  • stone を使って tiarra を SSL 化する方法 - KAYAC engineers' blog

    マンガ名刺を心待ちにしている nagata (@handlename) です。 今回は IRC proxy の tiarra を SSL で使う方法を紹介したいと思います。 tiarra って? サーバーに常駐するIRCクライアント兼サーバー、とでも言えばいいのでしょうか。 IRC使う人にとっては割と常識っぽいアプリケーションみたいです(ぼくは最近知りました)。 通常IRCは接続している間の発言しか見ることができません。 が、サーバーにクライアントを常駐させ、 そのクライアントに対してローカルのクライアントを接続することによって、 ローカルなクライアントから接続していない状態の発言も拾うことができるようになります。 SSL 接続したい! 便利な tiarra なのですが、いまのところ SSL 接続をサポートしていません。 SSL で接続できないと・・・ IRC の発言は平文でやりとりされる

    stone を使って tiarra を SSL 化する方法 - KAYAC engineers' blog
  • stunnel を使って irssi を SSL 化する方法 - KAYAC engineers' blog

    最近、自由が丘のキャットファイト(リアル的な意味で)が元気だなぁ、と感じている、技術部のtaiyohです。 弊社長田が先ほど「stone を使って tiarra を SSL 化する方法」というエントリをアップしていましたが、僕は違うやり方だなぁ、ということで、書き残しておきます。 まず、irc proxyにはirssiを使用しています。 このあたりの環境構築方法については、@hokacchaのブログの神エントリ「irssiをインストールしてからやったことのまとめ」をご参照いただきたいと思います。 さて、肝心の通信のSSL化についてですが、表題にもありますが、僕はstunnelというツールを使っています。 正直なところ、stoneとの違いがよく分かっていません。stoneがプロセス単位でポートを立てるのに対して、stunnelは設定ファイルを使って、1プロセスでポートの管理をすべて行います

    stunnel を使って irssi を SSL 化する方法 - KAYAC engineers' blog
  • 高木浩光@自宅の日記 - 「VeriSignシール」という幻想

    ■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実

  • 高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない

    ■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管

  • IRC を SSL で安全なインターネットを - lql.be::hateda

    IRC というのは日常において重要なファクターを占めているにも関わらず平文でやり取りしているという日々に安息はありませんでした。 ということを唐突に思ったのでなんか SSL 通信したいなーと思ったんだけど Tiarra は SSL対応してないしなーと悩んでたところ stone で楽チンに IRC を SSL 化できるらしいのでやってみました。 stone というのはトンネルソフトでサーバ内でポートからポートへパケットを通すということができて結構 port 22 が空いてないときに stone で別のポートから通すなんてことをするんだけど stone 自体がSSL通信を行なえるため tiarra と stone を通してパケットのやり取りができるようになります。これを利用して Tiarra を SSL に対応させます。 手順 Simple Repeater `stone' 公式からソースを持

    IRC を SSL で安全なインターネットを - lql.be::hateda
  • 日本ベリサイン - Enterprise & Internet Security Solutions

    Discover Domain Names Explore Registry Services About Verisign Support

    日本ベリサイン - Enterprise & Internet Security Solutions
    hokaccha
    hokaccha 2010/04/26
  • Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan

    Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ

    Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
  • ウノウラボ Unoh Labs: PHPでSSL通信する時の注意点

    yukiです。 今回はPHPでSSL通信したい時の注意点などを紹介します。 PHPでSSL通信を行う際には、 fsockopenpfsockopenfile_get_contentsfopenstream_socket_client など様々であり、利用する場面がありますが、SSL通信が許可されている必要があります。 よくHTTP_Requestなどを利用してPOSTしたいがhttpsだとうまくいかない!という記事を見かけますが、参考になればと思います。 * allow_url_fopenが有効かどうか 上記の関数についてfile_get_contents・fopenでは上記設定が有効かを調べます。 php.iniで設定されていますが、通常デフォルトで使用可能なのですが、レンタルサーバーなどでは使えないこともありますので調べてみましょう。 phpinfo()関数を利用するか

  • 「https⇒httpリダイレクト時の警告メッセージ」(1) Java Solution - @IT

    IT 会議室 Indexリンク Windows Server Insider Insider.NET System Insider XML & SOA Linux Square Master of IP Network Java Solution Security & Trust Database Expert RFID+IC リッチクライアント & 帳票 Server & Storage Coding Edge @ITクラブ Cafe VB業務アプリケーション開発研究 @IT SpecialPR

  • 1