BREACH攻撃 - てきとうなメモ
BREACH ATTACK breachattack.com/resources/BREACH - SSL, gone in 30 seconds.pdf HTTPの圧縮機能を用いて、HTTPS上の通信をみてCSRF tokenなどの秘密を推測することができるという脆弱性。 以前CRIMEという脆弱性があったのだが、あれはHTTPSの圧縮機能というあまり使われていない機能を用いていたので、その機能をオフにすればよかった。 しかし、今回のはHTTP上のgzip圧縮などが該当するので使っているところは多そうなので、なかなかオフにはしづらい。そしてそれ以外の対策がCSRF tokenの生成方法を変更するなどめんどくさいので対策がとりにくい。 ただし、攻撃者はユーザのHTTPS通信を盗聴でき、かつ、攻撃者がユーザに脆弱性のあるサイトにHTTPリクエストを送信させることができなければならないので、そ
SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明
COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、ドイツ人ジャーナリストのHanno Böckさんのブログ内で明かされました。 Comodo ships Adware Privdog worse than Superfish - Hanno's blog https://blog.hboeck.de/archives/865-Comodo-ships-Adware-Privdog-worse-than-Superfish.html Lenovo製のノートPCにプリインストールされているソフトウェア「V
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
なぜHTTPSはHTTPより速いのか
先週、httpvshttps.com というウェブサイトが公開されました。このウェブサイトでは、HTTP と HTTPS を用いてアクセスした場合のウェブページのダウンロード完了までにかかる時間の比較ができるのですが、多くの環境で HTTPS の方が HTTP よりも高速なことに驚きの声が上がっていました。 HTTP が TCP 上で平文を送受信するのに対し、HTTPS は TCP 上で TLS (SSL) という暗号化技術を用いて通信を行います。ならば、TLS のオーバーヘッドのぶん HTTPS のほうが遅いはずだ、という予測に反する結果になったのですから、驚くのも無理はありません。 実は、この結果にはからくりがありました。 Google Chrome、Mozilla Firefox、最近のSafari注1は、Google が開発した通信プロトコル「SPDY」に対応しており、HTTPS
お前このサブネットでも同じ事言えんの? - 知らないけどきっとそう。
,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
Outbound Port 80 blocking のご提案
Outbound Port 80 blocking ⽵竹 <takesako@shibuya.pm.org> http://www.janog.gr.jp/meeting/janog31/program/OP80B.html [ ] � MacBook Air ⾏行行 � [ ] � ⾏行行 ⼈人 � [ ] � ⼊入 � [ ] � ⼈人 � [ ] � ⽤用 Google Wireshark ⾯面⼈人 Firesheep � 2010 10⽉月 �Firefox � �Eric Butler⽒氏 � LAN facebook Twitter ⽂文 HTTP Cookie � �PoC⽰示 Firesheep ⾯面 Eric Butler⽒氏⽤用 Firesheep � Web �Amazon.com CNET dropbox Evernote Facebook Flickr Gith
HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて - むらかみの雑記帳
'12/11/24: このブログの内容をもとに Amazon Kindle ストアで電子書籍を出版しました。 スマートフォンアプリ配信の輸出管理 作者: 村上卓弥出版社/メーカー: 村上 卓弥発売日: 2012/11/23メディア: Kindle版 クリック: 1回この商品を含むブログ (2件) を見る AppStore でアプリ配信をしようとして iTunes Connect にアプリをアップロードしようとすると、「暗号使ってるかい?」(Export Complianceのところ)という質問がされますよね?皆さん、あそこちゃんと答えてますか? ほとんどのサイトは No でいいよ、と書いてあります。が、これは間違い。アプリが暗号関連でなくても、アプリ内に暗号コードが入ってなくても、iOS の暗号を使っている場合はここは Yes と答えないといけません。 具体的には、HTTPS を使ってる場
[Android] ソースコードから見る公式テザリングとAPN
今回注目する点はこちら https://github.com/android/platform_frameworks_base/blob/master/services/java/com/android/server/connectivity/Tethering.java https://github.com/android/platform_frameworks_base/blob/master/core/res/res/values/config.xml フレームワークにおける設定を tether で検索してみたです。 特に注目したい点はここらへん [java] false [/java] つまり、テザリングをする場合に別のダイヤルアップ接続をするかどうかと、する場合にどこに接続するかという設定です。 実装を見てみましょう [java] public boolean isDunRequ
![[Android] ソースコードから見る公式テザリングとAPN](https://cdn-ak-scissors.b.st-hatena.com/image/square/e379cb70d1cf6aee1cdaddb8d7c7c1488d566e03/height=288;version=1;width=512/https%3A%2F%2Fblog.8796.jp%2F8796kanri%2Ffiles%2F2022%2F05%2Fnoimage.png)
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Contact Lens song lyrics fashion trends High Speed Internet Migraine Pain Relief Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2014/11/19/20141118mozilla-eff-and-others-band-together-to-provide-free-ssl-certificates/