Debian JP Project - 最近の話題 - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) 残念な事に Debian の OpenSSL パッケージに脆弱性が見つかりました。見つかった問題は既に修正されていますが、 今回の問題はパッケージの更新だけで済ませられないものとなっています。 今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影
Net::SSL::ExpireDateはすごい - file-glob こと k.daibaの日記
SSL証明書 証明書の管理ってめんどくさいなぁと思っていたら,id:hirose31さんがNet::SSL::ExpireDateというモジュールを作られていました.これはすごい.何気なく試してみて期限切れの証明書を発見(だめじゃん).ぜひこのモジュールには,オレオレ証明書を発見するメソッドも追加して欲しいです. Test::More Net::SSL::ExpireDateを使わずに,証明書のCNがホスト名と一致するかってテストと,期限まで1週間を切ってないかっていうテストをするスクリプトを書いてみました. #!/usr/local/bin/perl use IO::Socket::SSL; use Net::SSLeay; use Test::More qw(no_plan); use Date::Parse; use DateTime; use DateTime::Duration;
あの不定記 最近の主要なブラウザでは SSL2 はデフォルトで無効に
SSL2 は危険性が指摘され、最近のブラウザではデフォルトで無効になっています。 その無効になっている SSL2 でアクセスしようとするとどうなるか、試してみました。 Firefox 2 日本語版の場合。 警告 ! [OK] 警告なのはわかるけど、何の警告なのかわからない。 参考: Bugzilla-jp Bug 5400 SSL2の警告が表示されない IE7 日本語版の場合。 Internet Explorer ではこのページは表示できません (中略) この問題は以下を含む様々な原因により発生します: (中略) これが HTTPS (安全な) アドレスである場合、[ツール]、[インターネット オプション]、[詳細設定] の順にクリックして、[セキュリティ] の項目の下にある、SSL と TLS のプロトコルが有効になっていることを確認してください。 あの、それではユーザーが危険性を理解し
JSide レビュー MOONGIFT
特集「オープンソース×10年」 予算ゼロからのIT環境整備2014/01/30 特別寄稿:センチメンタル・ジャーニー ~OSSはまだ16だから~2014/01/30 EC-CUBE – オープンソース・Eコマースの雄の進化を見る!2014/01/30 Zabbix Japanに聞いたオープンソース×ビジネスを成功させるための3つの基本2014/01/30 MOONGIFTの運営で大事にしている3つのこと2014/01/30 2007〜8年の大きな変動まとめ!2014/01/30 なぜプレミアム?そこから得られた経験教えます2014/01/30 2006〜09年、各年の人気オープンソース・ソフトウェアベスト52014/01/30 狙われやすいサイトはどんなサイト?オープンソース×セキュリティについてペンタセキュリティシステムズに聞く2014/01/30 aegifが考える企業でOSSを開発す
高木浩光@自宅の日記 - オレオレ証明書の区分 改訂版
■ オレオレ証明書の区分 改訂版 はてなキーワードに「オレオレ証明書」の項目ができていた。 ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」 という定義は私の定義とは異なる。自己署名とは限らないし、 不適切な場面とも限らないからだ。 そのためその下にある第一種〜第五種の区分の記述と矛盾が生じている。 私の定義では、クライアント側で認証パスを辿れない(検証できない)証明書 のすべてをオレオレ証明書としている。それは、サーバ側の設定ミスかもしれ ないし、設定が正しくても今まさに通信路上で攻撃を受けているのかもしれな い。証明書の発行の意図に関係なく、クライアントから見れば等しく「オレオ レ」と言っているようにしか見えない。 攻撃を受けている場合を除いて、クライアント側でオレオレ証明書となる場合 の、その原因別の区分を9月3日の注釈で書 いていた。他に第六種もあったので
高木浩光@自宅の日記 - PKIよくある勘違い(0)「サーバ証明書は単なる暗号鍵であり認証局の署名は実在証明にすぎない」
■ NEDOのサイトで4つのサプライズ Firefoxを使用して*1、NEDOのサイトにアクセスする。 一番下に「著作権 ・リンクについて」という部分がある。 サプライズ1 クリックすると第一種オレオレ証明書*2の警告が出る。 サプライズ2 「なんだかなぁ」とうなだれつつ、「OK」ボタンを押してページ内容を 読みに行くと、「原則トップページへご自由にリンクしていただいて結構」と 言いながら、上記条件に合致すれば下記登録フォームに必要事項 を記入 し送信して下さるだけで、リンクして下さって結構です。 と、電話番号か住所の送信を要求している*3。 サプライズ3 「またこういう愚かな記述が……」とぐったりしつつ、 ここで「送信」ボタンを押すと、このページは暗号化され ていますが、あなたがこのページで入力する情報は暗号化されていない接続を 通して送られようとしており、第三者が簡単に傍受できます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ