自堕落な技術者の日記 : POODLE攻撃について本当にTLSv1.0なら安全なのか? - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 POODLE攻撃は、運用泣かせというか、SSLv3のサポートを本当に切っちゃっていいのか、レガシークライアントについて対応するのがいいのか、悩む所ですよね。ShellShock騒ぎさえまだうちでは収束していないのに・・・ POODLE攻撃は、「SSLv3の問題であってTLSv1.0以上では(パディングの方法が違うので)影響が無い」とされていますが、nahiさんからコメントもらって「実装依存だけどTLSv1.0でも危険な実装があるんじゃないの?」ということで、その事を書いてみたいと思います。 今回のPOODLE攻撃については、何が問題でどのようにすれば攻撃できるのかという、詳しい図入りの素晴らしく判りやすい解説をモバゲーさんが 「SSL v3.
テスト駆動開発(TDD)はもう終わっているのか? Part 1 | POSTD
後編を公開しました(2014/10/8) これは、テスト駆動開発(TDD)とTDDがソフトウェア設計に与える影響についてKent Beck、David Heinemeier Hansson、および著者の3人で行った一連のディスカッションの議事録です。 ディスカッションに至った経緯 あるセンセーショナルな発言とブログ記事が発端となり、お互いの見解と経験について理解を深める目的で、話し合いが持たれました。 この会話のきっかけとなったのは、 DavidがRailsConfで行った基調演説です。 彼はRailsコミュニティでTDDおよびユニットテストへの不満を表明しました。 程なくして、彼はいくつかのブログ記事を公開しましたが、そのうちの最初の記事で “TDDは終わった” と宣言したのです。 それから2~3日後、Davidのその後の記事について私がタイプミスの修正を送ったところ、 Davidは彼の
Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping
Hundreds of open source packages, including the Red Hat, Ubuntu, and Debian distributions of Linux, are susceptible to attacks that circumvent the most widely used technology to prevent eavesdropping on the Internet, thanks to an extremely critical vulnerability in a widely used cryptographic code library. The bug in the GnuTLS library makes it trivial for attackers to bypass secure sockets layer
無料のSSL証明書StartSSLを活用する - Qiita
背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに本人確認のメールが届くので、受信したメールのa
NICTが脆弱なSSLサーバの検出システム「XPIA」を開発、分布を特定
NICTが脆弱なSSLサーバの検出システム「XPIA」を開発、分布を特定:「共通の秘密鍵」を生み出さない、適切な乱数生成モジュールの利用を 情報通信研究機構(NICT)は2013年10月22日、Secure Socket Layer(SSL)の脆弱性を検証するシステム「XPIA」を開発したことを明らかにした。 情報通信研究機構(NICT)は2013年10月22日、Secure Socket Layer(SSL)の脆弱性を検証するシステム「X.509 certificate Public-key Investigation and Analysis system(XPIA)」を開発したことを明らかにした。 XPIAは、SSLサーバが暗号化通信に利用しているX.509電子証明書からRSA公開鍵の情報を抽出し、脆弱性が存在しないかどうかを検証するシステムだ。XPIAでは、共通の秘密鍵を有しており
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
Counter SSL Proxyオプション - ネットワーク監視、証拠保全システム「PacketBlackHole」|ネットエージェント株式会社
PacketBlackHoleおよび関連商品の販売終了のお知らせ 平素はネットエージェント株式会社の製品をご利用いただきまして、誠にありがとうございます。 2000年より販売してまいりました「PacketBlackHole」および関連商品につきまして、2019年3月末日をもちまして新規の販売を終了させて頂くことをご案内申し上げます。 長らくのご愛顧、誠にありがとうございました。 出荷終了対象製品はリプレイス導入、機器買い替えを含む全ての新規ライセンス及びハードウェア製品となり、継続ライセンスおよびハードウェア保守につきましては2023年3月まで販売いたします。 現在ご利用の製品につきましては引き続きご利用可能です。 また、アプライアンス製品およびソフトウェア製品の保守サポートは2024年3月末日まで継続いたしますので、引き続き製品をご利用いただきたくお願い申し上げます。 販売終了に伴いご不
yet2come: BlackHatで発表された攻撃手法(sslstrip)について
昨日Black Hatで「New Tricks For Defeating SSL in Practice」という発表がありました。海外のメディアでは、あまり適切でないタイトルで記事になっているところも見受けられます。 Website danger as hacker breaks SSL encryption(ITpro.co.uk) Black Hat : Hacking SSL with sslstrip(internetnews.com) タイトルだけ読むと、まるでSSLが解読されたかのような印象を受けるのですが、結論から言えば、実際に紹介されている手法としては中間者攻撃(man-in-the-middle attack)の応用です。プレゼンのスライドはこちら。 #さきほど、ビデオも公開されたようなので、ご興味のあるかたはどうぞ さて実は、このMoxie Marlinspikeさ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
ネットワークマガジン - Network Magagine - 徹底比較 SSLサーバ証明書の「値段」と「品質」