Chicappa(チカッパ!)の共有SSLはなぜ変更になったのか? | アルゴニートブログ
チカッパ!の共有SSLのアドレスがこの度、変更となりますが、運営側の説明では「セキュリティ対策」としております。 すごいですね「脆弱性を確認いたしましたのでセキュリティ対策します」と書いていますよ! 正直ですね。ステキです。大好き。 皆も正直なチカッパ!を使おう!! さて、今回の共有SSLのアドレス変更、何が問題だったのでしょうか? 普通に使っている分には、ちゃんと共有SSLが動作しているように見えたのですが… いえいえ、そんな事はありません。もしかしたら、あなたのサイトが誰かに乗っ取られていたかもしれないのです。 そんなまさか!? SSLだから安全じゃないの? 確かに。SSLはあなたの通信を暗号化してくれます。 ですが、SSLは暗号化をしてくれるだけであり、今回の問題とは無関係です。サーバ上で動作するプログラムの作りによっては重大なセキュリティホールに成り得たのです。 今日は古い共有
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
nitoka blog: https://ページからhttp://ページへのリンクした場合リファラーは送出されない
「そんなの常識だよ」という人は無視してください。 知りませんでした。https://ページからhttp://ページへのリンクした場合リファラーは送出されないんですね。 昨日、弟から「https://ページからhttp://ページへのリンクした時にリファラーが取得できないのだけど、これって何が原因?」と聞かれ、「いや取れるだろ」と答えたのですがよくよく調べてみるとブラウザの仕様でhttps://ページからhttp://ページへのリンクした場合はリファラーは送出されないようです。 以下、産業技術総合研究所のページより引用 Internet Explorerのバージョン4.0以降を使用している場合には、Refererは送出されません。これは、Internet Explorerの4.0以降が、「https://」のページ上に存在するリンクを辿ったときにはRefererを送出しない仕様となっているた
phpMyAdmin の Apache 公開ポリシーについて
phpMyAdmin に限らず、サーバ管理ツールやグループウェアなどの Web アプリケーションを利用する場合は、ツール側のセキュリティ対策は勿論ですが、Web サーバ側でも適切にセキュリティ対策(アクセス制限と監視) を行う必要があります。 phpMyAdmin の設置とは切り分けて考える必要があるため、ここでは例をあげて Apache Web サーバ側で適用するセキュリティ ポリシーについて考えます。 phpMyAdmin 設置ポリシー例 phpMyAdmin の設定は、config.inc.php を編集して行います。サーバ管理者が利用する phpMyAdmin と ローカルユーザに提供する phpMyAdmin それぞれに異なるセキュリティポリシーを適用したい場合は、異なるディレクトリで phpMyAdmin を設置します。 例えば、ドキュメントルート外にそれぞれの phpMyAd
ある技術者の備忘録 » .htaccessだけでSSL対応するには
SSLを考えずに作られているページを、.htaccessだけの変更でSSL対応する方法をご紹介します。 もちろん、サーバがSSLに対応している必要はありますが…。 さらに.htaccessとmod_rewriteが入っている必要もあります。 SSLページにしたいHTMLファイル(PHP等でも可)のあるディレクトリに.htaccessファイルを作成し、下の文を追加します。 RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L] ファイルを個別に指定したい場合はちょっと面倒ですが下記のようにします。 ここでは例としてfoo.htmlとbar.htmlをSSLページとし、それ以外はSSLでないページとします。 RewriteEngine on Rew
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
