DNS Queries over HTTPS の標準化 (RFC8484) - ASnoKaze blog
20181020更新 RFC8484として標準化されました 「DNS Queries over HTTPS」の仕様の標準化が始まっている。 今までもこのテーマはIETFにおいて何度か議論になってきましたが、今回 DNS Over HTTPS (doh) WGの設立に合わせて(まだProposed)、この「DNS Queries over HTTPS」の標準化がマイルストーンとなっている。 今回の「DNS Queries over HTTPS」は、Googleの提供しているDNS over HTTPSとは全然違う仕様である点は注意が必要です。GoogleのものはクエリとレスポンスをJson形式で構造化するが、今回は比較的素のDNSクエリをHTTPSで送り合う仕様である(今後JSON形式をサポートする可能性はあります)。 このプロトコルではHTTP/2を使う必要があります(MUST)。HTTP
docker で全自動 Let's encrypt - Qiita
https-portal があまり知られてないようなので紹介記事だけ書いとく。 https://github.com/SteveLTN/https-portal あなたがすでにhttpで動作するサービスのdockerコンテナを持ってるなら、こいつを docker-compose に加えるだけで https 対応は完了。 え? 加えるだけで完了。 まじです。 https-portal は何をするものか 基本的には https のリクエストを受け取り、他のコンテナの http へ転送するリバースプロキシとして動作する nginx である。 ところで https を提供するには証明書の取得、設定などが必要だが、こいつはそれを全自動でやってくれる。 え? 証明書の取得、設定を全自動でやってくれる。 まじです。 期間延長も自動でやってくれるらしい。 まあとにかく便利なので、 Let's encryp
HTTPSにまつわる怪しい伝説を検証する──Google I/O 2016 セッションレポート
HTTPSにまつわる怪しい伝説を検証する──Google I/O 2016 セッションレポート 及川卓也 今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである”Mythbusting HTTPS: Squashing security’s urban legends”について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人はそちらを見てもらえればいいのですが、時間がないという人のために、その内容をまとめました。基本的には文字起こしに近いものです。 重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てる
HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita
今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近いものです。 重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てるならば嬉しいです。 TL;DR HTTPSはPWAppなどWebにとって必須。 しかし、パフォーマンス悪化する
標的型攻撃対策が困難に ファイアウォールやSIEMを逃れる手口も
国内企業や組織への標的型サイバー攻撃ではセキュリティ製品の検知を逃れる手口が幾つも見つかった。分析したトレンドマイクロは「自前での対策は限界にある」と指摘する。 トレンドマイクロは4月15日、2014年に国内で発生した標的型サイバー攻撃の分析結果を発表した。企業や組織が講じているセキュリティ対策を突破する手法が次々に見つかり、検知や防御が非常に難しい状況にあると指摘している。 同社では2014年に国内の法人顧客から解析依頼のあった事案(総数は非公表)から、100件について攻撃の仕組みや手法などについて調べた。 攻撃者が利用する遠隔操作ツールは、2013年や2014年に登場したばかりの「EMDIVI」「PLUGX」が全体の67%を占め、2013年に23%を占めて最多だった“定番”ツールの「POISN.IVY」が9%に減少した。 遠隔操作に使われたサーバの44%が国内に置かれ、2013年の6%
NSAでも傍受できなかった暗号化ツールとは | スラド YRO
米国家安全保障局(NSA)でも傍受できない暗号化ツールというのがやっぱりあるらしい(GIZMODO)。 NSAによるネット監視をリークしたエドワード・スノーデン氏のリーク文書によると、2012年の時点でNSAでも傍受できなかったツールとして匿名通信システムTorや電子メールサービスZoho、ファイル暗号化ソフトTrueCrypt(現在は開発終了)、インスタントメッセージングOTR(Off-the-Record)が挙げられていたという。いっぽう、VPNやHTTPSなどについては簡単に傍受できたそうだ。
SEOにも影響するWebページ全体HTTPS化(常時SSL)の効果と実装のポイント | 【レポート】Web担当者Forumミーティング 2014 Autumn
グーグルが、SSL化されたWebサイトをSEOの評価として優遇することを2014年8月に公式発表したこともあり、サイト全体をHTTPからHTTPSに変更する流れが加速している。SSL化に必要となるサーバ証明書発行の大手シマンテック・ウェブサイトセキュリティ(ベリサインを吸収合併)の木村泰介氏がWeb担当者Forumミーティングで登壇し、常時SSL化のメリットとデメリット、具体的な対処方法について語った。 増大するセキュリティリスク まず木村氏は、常時SSLの話に入る前に、昨今のセキュリティトレンドについて触れた。 2020年に開催される東京オリンピック・パラリンピックを契機に、外国人観光客を増やそうと政府や地方自治体が音頭を取り、案内表示の外国語表記とともに公共無線LANの大量設置が予定されている。しかし、通常Wi-Fi通信は暗号化されていないため、セキュリティリスクが懸念されると木村氏は
社内プロキシに虐げられてる人たちはVPSとか借りて社外にプロキシ立ててsshトンネルで繋ぐとウハウハですよってお話 - Qiita
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
「HTTPS(SPDY)」と「HTTP」ではどちらが高速に接続できるか体感できる「HTTP vs HTTPS Test」
by themonnie PCやスマートフォンでブラウジングをしていると、GoogleのサービスやTwitter・Facebookのタイムラインはわりとサクサクと表示できるのに、それ以外のサイトでは読み込みが遅い気がする、という人がいるかもしれません。これは気のせいではなく、実際に一部のサイトでは通信速度が高速になっているためです。HTTPで接続しているか、HTTPS(SPDY)で接続しているかの違いによるものですが、「HTTP vs HTTPS Test」というサイトでは、これをわかりやすく体感することができます。 HTTP vs HTTPS Test https://www.httpvshttps.com/ サイトにアクセスすると通信速度が測定されます。この事例だと読み込み時間は1.638秒でした。 続いて、サイト右上の「HTTP」というリンクをクリックします。 先ほどはHTTPS(S
HTTP vs HTTPS Test
HTTP vs HTTPS Test Encrypted Websites Protect Our Privacy and are Significantly Faster Compare load times of the unsecure HTTP and encrypted HTTPS versions of this page. Each test loads 360 unique, non-cached images (0.62 MB total). For fastest results, run each test 2-3 times in a private/incognito browsing session.
自堕落な技術者の日記 : Internet Week 2014パネルで話しそびれたネタ: 統計情報でみるSSL/TLS - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 先週のInternet Week 2014でHTTPSサーバー設定の話をさせて頂きました。お越し頂いた方、ありがとうございました。マニアックな内容だったのですが、何か参考になる所があれば嬉しいです。 さて、今日はパネルネタで仕込んでおいたのに陽の目を見なかった話をちょっとブログで書こうと思います。SSL/TLS関連で統計データみたいなものを出しているサイトが幾つかあって、そこから世の中の傾向がわかったり、それを元に自分のサーバーはどう設定するかなぁ、などと考えるのに役に立つのではと思い紹介したいと思います。 SSL Pulse まず最初に紹介したいのがSSL Pulseというサイトです。 出典:SSL Pulse https://www.tr
TechCrunch | Startup and Technology News
Less than one year after its iOS launch, French startup ten ten has gone viral with a walkie talkie app that allows teens to send voice messages to their close… While all of Wesley Chan’s success has been well-documented over the years, his personal journey…not so much. Chan spoke to TechCrunch about the ways his life impacts how he invests in startups.
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
【ruby】net/httpでPOSTリクエスト(https)投げてみる。 - 訳も知らないで
個人で何かWebアプリ実装してみる、という時に何かのwebapiを利用することが最近多いです。 rubyでapiにhttpリクエストを投げるには、getの場合だとopen-uriを使うことが多いのですが postなど投げるときはnet/httpを使っています。 最近https(ssl)通信でリクエストを投げるというのを実装したので 忘れないようにメモ。 postメソッドリクエスト例 以下はgithub apiにリクエスト投げた時の例。 リポジトリにフックメソッドを追加するというリクエストです。 設定内容をjsonで渡す必要があったので、bodyにjsonデータをセットしています。 (ちなみにto_jsonメソッドはActiveRecord::Baseのメソッドですね確か) uri = URI.parse("https://api.github.com/repos/#{user_name}/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CloudFlareがUniversal SSLで無償のWebセキュリティを提供へ