spモードメールアプリ バージョン5400 およびそれ以前開発者によると、Android 向けの spモードメールアプリのみ影響を受けるとのことです。
JVN#82029095: spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
spモードメールアプリ バージョン5400 およびそれ以前開発者によると、Android 向けの spモードメールアプリのみ影響を受けるとのことです。
ベリサイン平岩氏とラック新井氏が語る、認証局が果たす役割とその可能性
インターネットの利用にかかるセキュリティリスクが増大している。不正アクセスや通信傍受によるデータ窃盗、マルウェアを利用したコンピュータ破壊や遠隔操作、フィッシングサイトによる個人情報の収集などといった被害は後を断たない。企業のWebサイトそのものが書き換えられて悪用される事例や、ソーシャルネットワークサービスを活用して個人情報の傍受やフィッシングサイトへの誘導を行う事例も多数報告されている。そのような中で、企業が自社サービスに対する安全な利用手段を提供することは、ユーザを守るためにとどまらず、会社全体の信用を得るために不可欠な要素である。 日本ベリサイン株式会社(以下、ベリサイン)は国内で16年に渡り、認証局サービスを中心とした情報セキュリティ強化に関するソリューションを提供してきた。同社の認証局サービスは金融サービスなどの大規模システムから小売アプリケーションにいたるまで幅広く使用されて
そんな認証局で大丈夫か?ベリサインが指摘するWebの課題
2月8日、日本ベリサインはSSLサーバーの認証局や証明書などを用いたWebセキュリティに関する勉強会を開催した。発生した偽造証明書の事件などを引き合いに、認証局の選び方や業界標準化の流れ、さらにSSLの暗号アルゴリズムの強度に関するトピックが紹介された。 事件は認証局で起きていた! 勉強会の冒頭、日本ベリサイン SSL製品本部 プロダクトマーケティングチーム アシスタントマネージャー 上杉謙二氏は、まず前提となる認証局とSSLの仕組みについて説明を行なった。 ご存じの通り、SSLサーバー証明書は、Webブラウザから通信相手となるWebサーバーを認証するもの。認証局(CA)と呼ばれる証明書発行機関が、独自の安全基準に基づいて証明書を作成し、サーバー管理者はこれをWebサーバーに登録。一方、WebブラウザにはCAのルート証明書がプレインストールされており、通信時にはこのルート証明書とWebサー
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
HTTPSへのBEAST攻撃の要約 - ytoku’s diary
SSL/TLSで保護されたHTTPS通信を解読すると話題になった Thai Duong と Juliano Rizzo によるBEAST攻撃について調べたので自分の理解についてまとめておくことにする。 参考文献 Security impact of the Rizzo/Duong CBC "BEAST" attack - Educated Guesswork Tor and the BEAST SSL attack | Tor Blog ImperialViolet - Chrome and the BEAST 攻撃対象はSSL 3.0/TLS 1.0のブロック暗号のCBCモードである。RC4を使用している場合はストリーム暗号なので影響を受けない。 結論から言えばHTTPSに対して広範囲に使える攻撃ではなさそうである。攻撃を成功させるにはWebSocketやJavaなどによってSSL/TL
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
Google の一部サイトに対して発行された不正な SSL 証明書の問題 | Mozilla Japan ブログ
Mozilla は今日、少なくとも 1 件の不正な SSL 証明書が、Google 社名義の公開サイトに対して発行されていたとの通知を受けました。これは Firefox 固有の問題ではなく、その証明書は発行元の DigiNotar 社によって取り消されました。これによってほとんどのユーザは守られています。 ユーザへの影響信用できないネットワーク上にいるユーザが不正な証明書を使ったサイトへ誘導されて、それが正規のサイトであると誤認するおそれがありました。そのような場合、ユーザは騙されて、ユーザ名やパスワードといった個人情報を入力してしまう可能性がありました。また、信頼できるサイトから提供されたものと思い込んで、マルウェアをダウンロードしてしまう可能性もありました。Mozilla ではこうした証明書が公開サイトで使用されているとの報告を受けています。 状況不正発行の規模が明らかになっていないこ
スマホブラウザのSSL/TLS renegotiation対応の検証メモ
■携帯ブラウザのSSL/TLS renegotiation対応の検証メモ とある案件でSSL/TLS renegotiation機能の脆弱性の問題に突き当たったため検証したメモ。問題の内容と対策はこちらのページ( http://blog.abacustech.co.jp/blogx/entry/40 )がとても詳しいので参照。Webアクセスをするブラウザ(クライアント)とサーバの両方が問題に対応している必要があるので注意。対応状況が簡単に確認できる方法はそれぞれ以下。 ※9/27追記 誤解を与えかねないRTがされていたので追記しておきますが、この検証はiOSやWP7のブラウザにSSL/TLS renegotiation機能の脆弱性が残存しているということを意味しません。SSL/TLS renegotiation機能の脆弱性に対してはRFC5746を実装する対処方法と、脆弱性発見当初実施され
【レポート】「SSLだから安心」は間違い - セキュリティセミナー 大塚氏 | エンタープライズ | マイコミジャーナル
6月に開催された「2011 Webセキュリティセミナー」(マイコミジャーナル主催)で、日本ベリサイン SSL製品本部 ダイレクトマーケティング部 マネージャーの大塚雅弘氏は、「今、Webサイトを守るために必要な対策とは ~ソーシャルメディアや最新事例から読み解く今後のセキュリティ対策~」と題する講演を行った。大塚氏は、現在のWebを取り巻くセキュリティ事情を概観しつつ、ユーザーが安心してサイトを利用できるように、EV SSL証明書などを使って"セキュリティの見える化"をすることが重要だと主張した。 インターネットは悪用しやすいメディア 日本ベリサイン SSL製品本部 ダイレクトマーケティング部 マネージャーの大塚雅弘氏 大塚氏はまず、GmailやFacebook、Twitterといったインターネットの新しい潮流について触れながら、「インターネットはオープンで便利なメディアで利用者も多いが、
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID(UID)を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります(仕様)がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです
PSN Hacked――問題の根はどこに?
史上最大規模の個人情報漏えい事件 4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」(PSN)で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。 今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。 記者会見によって明らかになったのは、以下のような事柄でした。 漏えいした個人情報の内容 システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた 各サーバにはファイアウォールが設置されていた アプリケーションサーバの脆弱性を突かれた アプリケーションサーバに攻撃用ツールが置かれた アプリケーションサーバの攻撃用ツールからデータベースサーバ
iPhoneアプリのSSL接続をパケットキャプチャする方法 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 ブラウザでアクセスするWEBサービスだと、たとえSSL/TLSでセッションが暗号化されていても所詮ピア・ツー・ピア通信なので例えばFirefoxだとFirebugなどでブラウザ側でパケットをキャプチャできます。 でもiPhone(iOS)アプリだとiPhoneにそんなツールが入れられないしキャプチャできない、と思い込んでいませんか? 実は僕もそうだったのですが、この件に関連して可能なキャプチャ方法を見つけたので覚え書きで残しておきます。 但し素人の方法なのでもっと洗練された方法もあるはず。セキ
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
RapidShare・MEGAUPLOADのカウントダウンをスキップするSeaHorseスクリプト - Fenrir User Community
Sleipnir Windowsのお問い合わせ Macのお問い合わせ Sleipnir Mobile iPhone / iPadのお問い合わせ Androidのお問い合わせ Sleipnir TV お問い合わせ Brushup よくある質問 お問い合わせ SNSで質問 X Facebook VLabo お問い合わせ Picky-Pics ヘルプ お問い合わせ BoltzEngine サポート お問い合わせ FenrirFS お問い合わせ SnapCrab お問い合わせ NILTO お問い合わせ DROMI お問い合わせ SNSで質問 X Instagram WINNITY お問い合わせ SNSで質問 X
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL証明書は安全なのか?~Comodo/DigiNotar事件を振り返って
Googleの研究者が不調なSSLシステムの修正を提案~変更によりネットの信用基盤をオーバーホール その1(The Register) | ScanNetSecurity
DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 
New hack on Comodo reseller exposes private data
PC
安全な通信を行うために