The Holy Hand Grenade of Antioch - OpenSSL Blog
The OpenSSL Management Committee has been looking at the versioning scheme that is currently in use. Over the years we’ve received plenty of feedback about the “uniqueness” of this scheme, and it does cause some confusion for some users. We would like to adopt a more typical version numbering approach. The current versioning scheme has this format: MAJOR.MINOR.FIX[PATCH] The new scheme will have t
Node.jsにおけるprototype汚染攻撃への対策 - SSTエンジニアブログ
はじめに こんにちは、CTOのはせがわようすけです。 少し前に大津さんが Node.js におけるprototype汚染攻撃を紹介する記事を掲載されていました。 Node.jsにおけるプロトタイプ汚染攻撃とは何か どういう原理での攻撃なのかの解説は大津さんの記事を参照頂くとして、記事内で紹介されている講演の動画では最終的に任意コード実行まで至っているという点で非常に興味深いものがあります。 攻撃の経路としてはクライアントからHTTP経由でJSONをPOSTするというだけですので、いくら Object.prototype を上書きできたとしても送ることのできるデータはJSONで表現可能なプリミティブな型のみで、JavaScriptの関数は含めることはできません。 この講演動画で扱われているGhost CMSというソフトウェアでは、__proto__ 経由でテンプレートのファイル名だけでなくそ
Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ
Second Draft of NIST's TLS Guidance Now Available for Comment | CSRC
Transport Layer Security (TLS) provides mechanisms for protecting data during electronic dissemination across the Internet. Draft NIST Special Publication (SP) 800-52 Rev.2, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations, provides guidance for selecting and configuring TLS protocol implementations using NIST-recommended cryptographic algorith
Delaying Further Symantec TLS Certificate Distrust – Mozilla Security Blog
Due to a long list of documented issues, Mozilla previously announced our intent to distrust TLS certificates issued by the Symantec Certification Authority, which is now a part of DigiCert. On August 13th, the next phase of distrust was enabled in Firefox Nightly. In this phase, all TLS certificates issued by Symantec (including their GeoTrust, RapidSSL, and Thawte brands) are no longer trusted b
Google's most interesting new Pixel 3 feature is also its most mysterious
The Pixel 3 phones are finally official, which means we’re done with rumors and leaks that would spoil everything about the new devices — here’s our hands-on experience with the new Google phones. Google had little surprises left for the event on Tuesday, in spite of its teasers in previous days. But the company did reveal an interesting detail about the Pixel 3 phones that wasn’t captured in the
Protecting user identity against Silhouette
The security of Twitter users and their data is important to us. One aspect is securing your Twitter identity from other websites you may visit. A user may accidentally visit a malicious website via a link from an email or Tweet, from an advertisement on another website, or from a hacked version of a familiar site. The malicious nature of a site may not be apparent, because the site may perform ac
日本語の編集をしていてよく直すパターン15選(増えるかも)
『校正のバイトをしててよく直す箇所10選|bxjp|note(ノート)』という記事を読んで、よくパターン化されていて素晴らしいって思っていました。ところが、記事の趣旨を勘違いした方からの冷たい反応を受けて有料にされたということで、あまりも残念なので自分の立場で再編してみました。1~10は元記事のパターンに対してぼくの考え方を添えたもの、A以降は、元記事を見てぼくが反射的に思いついたパターンです。 まあ、こういうパターンは便利だけど、パターン化できる修正を積み重ねれば悪文がなくなるほど自然言語は簡単ではないので、編集や校正をする人はたいへんですね。 自分は、こういうパターンも直すけれど、段落の役割を整理する、みたいな修正のほうが専門です。(専門とは?) 追記:これは文の書き方指南じゃなくて、文の編集校正で何をやってるか報告です。 1. 順接の「が」が頻出 順接の「が」は撲滅を目指すべきです。
Foreshadow: Breaking the Virtual Memory Abstraction with Transient Out-of-Order Execution
Breaking the Virtual Memory Abstraction with Transient Out-of-Order Execution @inproceedings{vanbulck2018foreshadow, author = {Van Bulck, Jo and Minkin, Marina and Weisse, Ofir and Genkin, Daniel and Kasikci, Baris and Piessens, Frank and Silberstein, Mark and Wenisch, Thomas F. and Yarom, Yuval and Strackx, Raoul}, title = {Foreshadow: Extracting the Keys to the {Intel SGX} Kingdom with Transient
普及期を終え成熟期に入った「Node.js」はこれからどうなる?-コミッターが語る現状と未来【後編】
サーバサイドJavaScriptのための環境として登場した「Node.js」は、今やクライアント環境でのJavaScriptランタイムとしてもポピュラーなものとなっています。その開発はどのようなプロセスで進められており、今後はどのような形で進化していくのでしょうか。今回、Node.jsのコミッターであるヤフーの大津繁樹氏と、「Japan Node.js Associations」の代表理事を務める、リクルートテクノロジーズの古川陽介氏に、それぞれの立場から「Node.js」の現状と未来について語っていただきました。モデレーターは、テックフィード代表取締役の白石俊平氏が務めます。本稿は2部構成の【後編】です。 (前編はこちら) フロントエンドにも広がる「Node.js」のエコシステムをどう生かす? 白石:では、このあたりから実際にNode.jsを開発現場でどのように使っていらっしゃるかについ
普及期を終え成熟期に入った「Node.js」はこれからどうなる?-コミッターが語る現状と未来【前編】
サーバサイドJavaScriptのための環境として登場した「Node.js」は、今やクライアント環境でのJavaScriptランタイムとしてもポピュラーなものとなっています。その開発はどのようなプロセスで進められており、今後はどのような形で進化していくのでしょうか。今回、Node.jsのコミッターであるヤフーの大津繁樹氏と、「Japan Node.js Associations」の代表理事を務める、リクルートテクノロジーズの古川陽介氏に、それぞれの立場から「Node.js」の現状と未来について語っていただきました。モデレーターは、テックフィード代表取締役の白石俊平氏が務めます。本稿は2部構成の【前編】です。 日本の「Node.js」コミッターには実は意外なつながりが? 白石:今回は、Node.jsのコミッターである大津さんと古川さんに、Node.jsの現在と未来について語っていただきたいと
TLBleed : Trasnlation Leak-aside Buffer の論文を読む - FPGA開発日記
TLBleedの論文がやっと発表された。The Registerで記事が出てから論文が出てくるまでずっと監視していたのだが、随分と時間がかかったね。 www.vusec.net このTLBleedの論文非常に長いので読むのがつかれるし、あまりセキュリティの知識とか無いので大変なのだが、要点だけつかもうと時間を作ってざっくりと読み進んでいった。 まだまだ分からないところが多いが、まとめていこう。 なんか難しげなアルゴリズムとかサクッと英語で説明してあるのでその辺りはまだよく理解できていないが、一通り読んで概要は何となくわかった。 この手法、スレッドが特権を持っていなくても同時に実行されているスレッド内の命令を読み取ることができるというものなのだが、当然ターゲットとなるサーバ内で攻撃スレッドが実行できている必要がある。 これはAWSなどのクラウド上で、意図していなくても何らなの別スレッドとリソ
TLBleed - vusec
Overview TLBleed is a new side channel attack that has been proven to work on Intel CPU’s with Hyperthreading (generally Simultaneous Multi-threading, or SMT, or HT on Intel) enabled. It relies on concurrent access to the TLB, and it being shared between threads. We find that the L1dtlb and the STLB (L2 TLB) is shared between threads on Intel CPU cores. Result This means that co-resident hyperthr
JIPDECトラステッド・サービス登録
世界的なデジタル革命の進展の中、インターネット上の情報の真正性を担保する電子署名等のトラストサービスの重要性が増大しています。また、サイバーセキュリティの観点から、電子メール・Webサイトの改ざんやなりすましへの対策にも注目が集まっています。欧州では、2016年7月にeIDAS規則が全面施行され、トラストサービスの適合性評価の仕組みが制度化されました。 一方、我が国においても、クラウドを活用した電子契約サービス等が急速に普及する中、電子文書の真正性を担保する電子署名等の重要性が再認識されているところです。 JIPDECは、JCAN証明書の発行等を通じて、電子契約サービス等に用いられる電子署名の信頼性確保に取り組んできました。その結果として、多種多様な電子契約サービスが出現してきましたが、利用者(個人,企業等)にとっては、それらの信頼性に対する情報の不足が顕著となっています。すなわち、電子署
GolangのSSL/TLS機能は自前実装らしい - sgryjp.log
比較的新しい言語では当然のようにSSL/TLS通信の機能が標準ライブラリに含まれている。てっきり、それらの実装はOpenSSLなのだろうと思っていたのだけれど、驚いたことにGo言語のライブラリはOpenSSLを使わず自前実装しているらしい。 [go-nuts] Why did Go implement its own SSL library? 上記のスレッドでは自前実装の動機について質問されており、Rob Pikeからの回答には非常に重要な指摘が含まれている: Moreover, Go is safer and cleaner and I would argue therefore a safer language for writing crypto code than C or C++. そうだよなぁ、C/C++を10年以上使って苦労してきた自分の経験からしても、これは真だと思う。メモ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム
Why PayPal Extended Validation Certificate doesn't show EV
OpenSSL 1.1.1 Series Release Notes
ssl/test - boringssl - Git at Google
https://www.nccgroup.com/us/our-research/technical-advisory-return-of-the-hidden-number-problem/