SSL/TLSネゴシエーション
◆ SSL/TLSセッションのハンドシェイク SSLクライアントとSSLサーバとでやりとりされるメッセージのなかで、以下のメッセージについては やりとりを省略した通信が行われる場合もあります。 ・ Server Certificate ・ Server Key Exchange ・ Certificate Request ・ Client Certificate ・ Certificate Verify 例えば、クライアント証明書を使用しないSSL通信であれば「Client CertificateとCertificate Verify」が省略。 ◆ SSL/TLSのメッセージ ・ Client Hello SSLの通信開始をクライアントからサーバに通知するメッセージ。メッセージに含まれている内容は以下です。 ⇒ SSL/TLSのバージョン、乱数、セッションID、クライアントが利用できる暗号
Mozilla Observatory
📣︎ Heads up! New security scoring standards apply - Your website grade may have changed. MDN Observatory will launch soon. Learn More. The Mozilla Observatory has helped over 240,000 websites by teaching developers, system administrators, and security professionals how to configure their sites safely and securely.
Rails セキュリティガイド | Rails ガイド
このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含めるべき項目、有名なセッション攻撃 Webサイトを開くだけで(CSRFによる)セキュリティ問題が発生するしくみ ファイルの取扱い上の注意、管理インターフェイスを提供する際の注意事項 ユーザーを正しく管理する(ログイン・ログアウトのしくみ、あらゆるレイヤにおける攻撃方法) 最も有名なインジェクション攻撃方法の解説 1 はじめに Webアプリケーションフレームワークは、Webアプリケーションの開発を支援するために作られました。フレームワークの中にはセキュリティを比較的高めやすいものもあります。実際のところ、あるフレームワークは他のよりも安
Same-Origin Policy とは何なのか。 - 葉っぱ日記
ちょっと凝ったWebアプリケーションを作成していたり、あるいはWebのセキュリティに関わっている人ならば「Same-Origin Policy」(SOP)という言葉を一度は聞いたことがあると思います。日本語では「同一生成元ポリシー」あるいは「同一生成源ポリシー」などと訳されることもありますが、個人的には「オリジン」は固有の概念を表す語なので下手に訳さず「同一オリジンポリシー」と書いておくのが好きです。 さて、この「オリジン」とは何なのかという話ですが、これは「RFC 6454 - The Web Origin Concept」で定められており、端的に言うと「スキーム、ホスト、ポート」の組み合わせをオリジンと定め、それらが同じものは同一のオリジンとして同じ保護範囲のリソースとして取り扱うということです。 例えば、http://example.jp/fooとhttp://example.jp:
小悪魔女子大生のサーバエンジニア日記 » Blog Archive » クライアント証明書ってなんだろう?
21.06.11 / こあくまベリサイン訪問記 / Author: aico 今回はクライアント証明書のお話です* 前回、サーバ証明書について勉強しました。 サーバ証明書は、サイトをつくっている企業が存在していること、 そのサイトが本物の企業がつくった本物のサイトである(フィッシングサイトではない)ことを証明する仕組みがあります。 クライアント証明書はサーバ証明書と技術的には同じ物です。(SSLの仕組みおさらいはココで) では何が違うのか?それは証明する対象です。 クライアント証明書はサイトを作った企業ではなくサイトを見る個人が本物であることを証明します! そのため、サイトを利用する個人のなりすましを防ぎ、 正しいクライアント証明書を持っていない人は、アクセスすることができません。 つまり、クライアント証明書はアクセスコントロールに便利です。 (アクセスコントロール…?続きます!) アプリ
小悪魔女子大生のサーバエンジニア日記 » Blog Archive » SSLって何だろう?
30.10.10 / webのこと / Author: aico https:// …から始まるサイトをみたころがありませんか?今日はSSLについてです! SSLとは、インターネット上で情報を暗号化し、送受信できるプロトコルです。 http://では、サーバとブラウザ間でやり取りするデータはインターネット上をそのままの形で流れています。 このため、悪うさがいると、盗聴や改ざんをされる可能性が出てきます。 暗号化していない場合の危険性についてはSSHの回でも見ましたよね。 なので、大事な情報をやり取りする時には、httpsからはじまるURI(SSL)が使用されます。 せっかくSSLによって暗号化されていても、通信相手が信頼できなければ意味がないですよね? そのため、SSLには第三者の認証機関が、そのページの運営者が実在していると認めてくれる仕組みも組み込まれています。 なのでSSLは、銀行口
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
What is a TLS/SSL certificate and how does it work? | Proton
