Google の一部サイトに対して発行された不正な SSL 証明書の問題 | Mozilla Japan ブログ
Mozilla は今日、少なくとも 1 件の不正な SSL 証明書が、Google 社名義の公開サイトに対して発行されていたとの通知を受けました。これは Firefox 固有の問題ではなく、その証明書は発行元の DigiNotar 社によって取り消されました。これによってほとんどのユーザは守られています。 ユーザへの影響信用できないネットワーク上にいるユーザが不正な証明書を使ったサイトへ誘導されて、それが正規のサイトであると誤認するおそれがありました。そのような場合、ユーザは騙されて、ユーザ名やパスワードといった個人情報を入力してしまう可能性がありました。また、信頼できるサイトから提供されたものと思い込んで、マルウェアをダウンロードしてしまう可能性もありました。Mozilla ではこうした証明書が公開サイトで使用されているとの報告を受けています。 状況不正発行の規模が明らかになっていないこ
Facebook、ハッカーの技術生かす「バグ報奨金プログラム」で4万ドル支払う
米Facebookは米国時間2011年8月29日、1カ月前に始めたセキュリティバグ報奨金プログラムに多くの協力が得られ、プログラム開始からこれまでの間で合計4万ドル以上を支払ったと発表した。世界16カ国以上からセキュリティの有能な人材を結集させることができ、予想以上の成果があったと報告している。 Facebookが同プログラムを発表し、“善玉ハッカー”を意味する「White Hats」と呼ぶサイトを立ち上げたのは7月29日。これを通じて同社Webサイトのセキュリティホールを報告するよう協力を求めている。 1件のバグに対する基本報奨額は500ドルで、脆弱(ぜいじゃく)性の深刻度によって金額が加算される。Facebookによれば、これまでの3週間で6件のバグを報告して7000ドルを受け取った人もいる。非常に重要な報告には1件に付き5000ドルを支払ったが、その一方で売名を目的にした虚偽の報告も
RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
