ウェブサイト全体の通信を暗号化する「常時SSL化」と呼ばれる対策について、地方自治体の対応が遅れている。サイトの安全性、信頼性を高めるもので、政府や大企業は対応を進めているが、自治体レベルでは必要性の認識が高まっていない。専門家は「信頼を求められる自治体サイトでは率先して導入すべきだ」と呼びかけている。◆「保護されていません」「保護されていない通信」――。8月上旬、東京都品川区に住む60代の
サイト暗号化「必要なの?」 自治体の動き鈍く 電子の森 - 日本経済新聞
ウェブサイト全体の通信を暗号化する「常時SSL化」と呼ばれる対策について、地方自治体の対応が遅れている。サイトの安全性、信頼性を高めるもので、政府や大企業は対応を進めているが、自治体レベルでは必要性の認識が高まっていない。専門家は「信頼を求められる自治体サイトでは率先して導入すべきだ」と呼びかけている。◆「保護されていません」「保護されていない通信」――。8月上旬、東京都品川区に住む60代の
Wildcard Certificates Coming January 2018 - Let's Encrypt
Update, March 13, 2018 Wildcard certificate support is live. Let’s Encrypt will begin issuing wildcard certificates in January of 2018. Wildcard certificates are a commonly requested feature and we understand that there are some use cases where they make HTTPS deployment easier. Our hope is that offering wildcards will help to accelerate the Web’s progress towards 100% HTTPS. Let’s Encrypt is curr
2017年でSHA-1サーバ証明書が廃止されるため、2009年以前に発売されたガラケーの大半でSSL通信(ログイン,課金)ができなくなります。ご注意を - latest log
SHA-1サーバ証明書の発行禁止と2017年1月1日からの相互利用禁止に伴い、2009年以前に発売されたガラケーの大半でSSL通信(≒ログイン,課金)ができなくなります。こちらが機種ごとの対応状況の一覧です SHA-2各種プラットフォーム対応状況 Node.js などのサーバサイドで判別する場合はこちらのリストを使うと良いでしょう。CERT_SHA1 とマークされている機種が SHA-2 に対応できない機種です。 https://github.com/uupaa/Spec.js/blob/master/lib/SpecCatalogFP.js JSON版 つまり、2017/01/01 以降は、FlashLite1.x しか対応していないガラケーは存在しないものとして扱う事が可能になります 。残りは FlashLite2.0が少々, 大半はFlashLite3.0と3.1です。時代の流れです
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
『OffSec Training』の対象コースが世界最安となる早割+10%OFFキャンペーン中です。 脆弱性診断やペネトレーションテストのエキスパートを目指す方へ絶好のチャンスです! 詳細はこちら
Webサービスを常時SSL化しようとして諦めた話
弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。 世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。 うちは新規だから最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。 つづく。 続き。 弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブ
Strict-Transport-Security - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT
Let's Encrypt
A nonprofit Certificate Authority providing TLS certificates to 363 million websites. Read all about our nonprofit work this year in our 2023 Annual Report. From our blog Dec 28, 2023 A Year-End Letter from our Vice President A summary of how ISRG’s three projects, Let’s Encrypt, Divvi Up, and Prossimo continue to improve security and privacy. Read more Dec 13, 2023 Our role in supporting the nonp
Twitter や Facebook が SSL 3.0 を無効にしたので死にかけた話 - しばやん雑記
今朝、Twitter や Facebook が SSL 3.0 を素早く無効化したため、API を使って処理を行っていたアプリが全滅するという悲惨な出来事が発生しました。 Twitter や Facebook の API を使っている場合、Global.asax.cs とかの初期化コードに以下のような設定を書いていると、接続を確立出来ないので死にます。 ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3; 実際に twitter.com へアクセスするコードを書くと、見事に例外が投げられます。 SSL 3.0 は無効化されているので、チャネルを作れないのは当たり前と言えば当たり前です。 ちなみに SecurityProtocolType.Ssl3 以外を指定している場合には成功します。 当然ながら、何も指定してい
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
Secure属性つきのCookieが読めなくても、書くことはできる | 水無月ばけらのえび日記
公開: 2013年11月10日19時50分頃 とある調査をしていて、CookieのSecure属性について確認したのでメモ。 RFC6265の4.1.2.5にSecure属性についての記述があるのですが、そこにはこんな注意書きがあります。 Although seemingly useful for protecting cookies from active network attackers, the Secure attribute protects only the cookie's confidentiality. An active network attacker can overwrite Secure cookies from an insecure channel, disrupting their integrity (see Section 8.6 for more
JVNVU#94916481: HTTPS レスポンスから暗号化されたデータの一部を推測可能な脆弱性 (BREACH)
圧縮された HTTPS レスポンスの長さを観測することで、攻撃者は HTTPS ストリームの暗号文から、ウェブサイトの認証鍵など (secret) を推測することが可能です。 Salesforce.com の Angelo Prado 氏は、下記の通り報告しています。 Extending the CRIME vulnerability presented at Ekoparty 2012, an attacker can target HTTPS responses to recover data from the response body. While the CRIME attack is currently believed to be mitigated by disabling TLS/SSL/level compression, compressed HTTP respons
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【悲報】多くの大手セキュリティ会社が自己署名証明書で通信を傍受する技術を使ってる事が判明 - Windows 2000 Blog