高木浩光@自宅の日記 - 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
SSLの脆弱性でTwitterのパスワード入手に成功
研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
今日時点での偽SSL証明書の話関連をピックアップ - naoeの日記
そろそろ各種ベンダーからもプレスリリースやらメールが回り始めたことだし ちょっとづつ集めてみよう.どうせ仕事でこの辺をやる羽目になるのだろうから・・・ MD5 considered harmful today: Creating a rogue CA certificate http://www.win.tue.nl/hashclash/rogue-ca/ http://d.hatena.ne.jp/naoe/20090105#p1でも書いたように 年末にWebAppSecのメーリングリストでこの件について僕は知りました. そのときはふーん.PS3を200台使うとかうらやましすぎる.とか位にしか思っていなかった. あとはここでもよくCFPを流していてChaos Communication Congressは前にも流したのでへぇーくらい. http://d.hatena.ne.jp/naoe
SSL PHP(サーバーサイド) Flash|_level0.CUPPY
http環境では動いていたFlashがSSLに移したとたん動かなくなった。 エラーの内容はioErrorのストリームエラー。 発生ブラウザはIEのみ。 「Safari、Firefox等はばっちり動いているのになぜ!!」って感じでいろいろ調べてみたら、どうやら、サーバーサイドプログラムのレスポンスヘッダーの影響によるものらしい。 レスポンスヘッダーに Pragma: no-cache があったら、値を「no-cache」以外の値に変更すればokみたい。 参考にさせていただきました。 ありがとうございます! FLASHとSSLとIEの関係 — Garage with Blue Sky red日記: Flash + SSL
高木浩光@自宅の日記 - 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か
自己署名の証明書になっていた。 これは明らかにセキュリティ脆弱性だ。この種類の脆弱性(ブラウザが証明書を検証しない)は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるのではないかと考え、IPAの脆弱性届出窓口に通報した。 この届け出は3月27日に受理された。そして本日、JVNで公表となった。修正版が提供されているので、利用者はアップデートで対応できる。 JVN#76788395 ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性, JVN, 2008年4月23日 パーソナルコミュニケーター "mylo" COM-2 セキュリティ脆弱性対策プログラムご提供のお知らせ, ソニー株式会社, ソニーマーケティング株式会社, 2008年4月2
高木浩光@自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正(15日)
■ 第六種オレオレ証明書が今後増加するおそれ リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。 無知な鯖管, 別館「S3日記」, 2007年12月9日 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日 これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フ
Creating Certificate Authorities and self-signed SSL certificates
Creating Certificate Authorities and self-signed SSL certificates Following is a step-by-step guide to creating your own CA (Certificate Authority) -- and also self-signed SSL server certificates -- with openssl on Linux. Self-signing is the simpler route to take, but making one's own CA allows the signing of multiple server certificates using the same CA and involves only a few extra steps. Afte
MySQL サーバに SSL 接続 - id:kazuhookuのメモ置き場
分散配置した MySQL サーバに SSL 接続したい、という需要は当然ある。というわけで、プライベートな認証局と証明書 (自己署名でも可) を使ってMySQL へセキュアに接続する手軽な方法について。 1) 認証局と証明書の作成 see http://www.tc.umn.edu/~brams006/selfsign.html revoke とかしないんなら、CA.sh を動かしてテンポラリファイルをゴリゴリ作る必要はない。 これは apache の証明書を作る場合も同じなんで、覚えておいて損はない。 サーバ証明書の秘密鍵生成時に -des3 を外さないと毎回パスワードを... ってのはお約束。 自己署名証明書なら CA とサーバ証明書の秘密鍵を同じにするとよい。 2) mysqld の起動 mysqld の側で必要なファイルはサーバ証明書と、その秘密鍵。my.cnf に以下のように設定
Ajaxian � aSSL - Ajax Secure Service Layer
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Welcome to atseason.com