SSLに新たな脆弱性、グーグルが発見
世界を震撼させた「Heartbleet」ほどの脅威ではないものの、SSLに新たな脆弱性が発見されました。 この脆弱性は「POODLE」と呼ばれ、SSL 3.0で発見されました。グーグルのOnline Security Blogにその概要が掲載されています。また詳細を含むPDFが公開されています。この脆弱性によって、クッキーやパスワードが盗み取られる危険性があるそうです。 脆弱性が発見されたバージョンは古く、15年前のものです。しかし、ほとんどのブラウザはまだこの古いバージョンをサポートしています。さらに問題なのは、HTTPSサーバのバグのため、ブラウザがサーバとの接続が失敗したときに、SSL 3.0を含む古いバージョンで再接続を行ってしまうのです。 グーグルは、この問題に対処するための方法を公開しています。しかし、Heartbleedのときと同じように、影響があるすべてのサービス、ソフトウ
This POODLE bites: exploiting the SSL 3.0 fallback
The latest news and insights from Google on security and safety on the Internet Anonymous said... Does this apply to SSLv2 as well? October 14, 2014 at 7:39 PM Scott Ruebush said... I can't wait to see POODLE take over the internet! Thank goodness we have heroes to save us from the evils of SSL 3.0 and such and such, etc. October 14, 2014 at 8:52 PM Paul said... Not sure how to enable TLS_FALLBACK
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事 | 海外&国内SEO情報ウォッチ
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。 「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。 たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。 グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。 ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
HTTPS をランキング シグナルに使用します
+1 ボタン 2 AMP 11 API 3 App Indexing 8 CAPTCHA 1 Chrome 2 First Click Free 1 Google アシスタント 1 Google ニュース 1 Google プレイス 2 Javascript 1 Lighthouse 4 Merchant Center 8 NoHacked 4 PageSpeed Insights 1 reCAPTCHA v3 1 Search Console 101 speed 1 イベント 25 ウェブマスターガイドライン 57 ウェブマスタークイズ 2 ウェブマスターツール 83 ウェブマスターフォーラム 10 オートコンプリート 1 お知らせ 69 クロールとインデックス 75 サイトクリニック 4 サイトマップ 15 しごと検索 1 スマートフォン 11 セーフブラウジング 5 セキュリティ 1
グーグル、OpenSSLの新たなforkとして「BoringSSL」発表
グーグルがOpenSSLのforkを発表、独自の実装にOpenSSL側の変更をマージする体制を採る。OSSでの展開はしない方針だという。 米グーグルが、オープンソースのSSL/TLS実装「OpenSSL」から新プロジェクトの「BoringSSL」を派生させた。同社の研究者アダム・ラングリー氏が2014年6月20日、自身のブログ「ImperialViolet」で明らかにした。 ラングリー氏によると、グーグルでは「Heartbleed」と呼ばれる重大な脆弱性が発覚する以前からOpenSSLのコードを検証し、何年にもわたって多数のパッチを使用してきた。この中にはOpenSSLのメインレポジトリに採用されたものもある一方で、OpenSSLが保証するAPIやABIの安定性とかみ合わないものや、やや実験的過ぎるものも多かったという。 しかし、AndroidやChromeなどの製品でそうしたパッチのサブ
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧
Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧2014.04.12 07:155,129 福田ミホ 多分ほぼみんな、どこかしらのサイトでパスワード変更を! 多くのWebサイトで使われているOpenSSLにHeartbleedという非常に深刻なバグが見つかりました。パスワードやメール、クレジットカード情報など、あらゆるタイプのデータが漏洩していた可能性があります。バグが見つかるまでの2年ほどの間、これらのデータが取り放題だったんです。 自分は大丈夫なの?と気になるところですが、MashableがHeartbleedの影響を受けたWebサイトやパスワード変更を呼びかけているWebサイトのリストをまとめてくれました。 あるWebサイトに脆弱性があったからといって、パスワードやクレジットカード番号やユーザー名といったまずい情報が抜き取られたとは限りません。た
GoogleアカウントにログインしていないユーザーにもSSL検索が強制適用、(not provided)が100%になる日は近い!?
[対象: 全員] Googleは、Googleアカウントのログイン状態にかかわらず、すべてのGoogle検索をHTTPSでの接続つまりSSL検索を利用するように仕様を変更しました。 すでに実施済みです。 僕たちにとってこれが何を意味するかというと、Google検索からのトラフィックの検索キーワードを取得することが不可能になります。 Googleアナリティクスでいうと、「(not provided)」だけになってしまいます。 HTTPSへ強制的にリダイレクト Googleアカウントからログオフした状態で、http://www.google.co.jp/ のように http:// で始まるURLでGoogle検索にアクセスしても、 https:// で始まるURLに強制的にリダイレクトされます。 FirefoxやChromeでは、ブラウザが内蔵しているGoogle検索ツールやアドレスバーからG
グーグル、非ログインユーザーの検索も暗号化、検索キーワードの取得は厳しい状況に
『MarkeZine』が主催するマーケティング・イベント『MarkeZine Day』『MarkeZine Academy』『MarkeZine プレミアムセミナー』の 最新情報をはじめ、様々なイベント情報をまとめてご紹介します。 MarkeZine Day
HTMLやCSSでのプロトコル表記(http:、https:)の省略について
HTMLやCSSではプロトコル表記(http:、https:)の省略が可能です。 ということで、プロトコル表記の省略に関することを色々調べてみましたので、本エントリーで紹介致します。 このエントリーは、「「Google HTML/CSS Style Guide」を適当に和訳してみた」の以下の部分に対しての便乗記事です。 埋め込みリソースからプロトコル表記(http:,https:)を省略する。 <!-- Not recommended --> <script src="http://www.google.com/js/gweb/analytics/autotrack.js"></script> <!-- Recommended --> <script src="//www.google.com/js/gweb/analytics/autotrack.js"></script> 1.プロトコ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
