概要 iOS 3.x にあらかじめインストールされている信用できるルート証明書は以下の通りです。IT 管理者が iPhone 構成ユーティリティを使って iPhone または iPod touch の構成プロファイルを作成する際にはこれらの証明書を含める必要はありません。 Subject Name Country Name : JP Organization Name : JPKI Organizational Unit Name : Prefectural Association For JPKI Organizational Unit Name : BridgeCA Issuer Name Country Name : JP Organization Name : JPKI Organizational Unit Name : Prefectural Association For J
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
オンライン情報の暗号化プログラムに深刻な欠陥が見つかり、インターネット上の個人情報が盗まれる可能性がある問題で、宇都宮市教委は12日、図書館ホームページ(HP)の蔵書検索や貸し出し予約などができる機能を14日まで停止すると発表した。 同市のHPでも暗号化ソフト「オープンSSL」の問題があるバージョンを使用していることが判明し、蔵書検索や貸し出し履歴などの個人情報も流出するおそれがあるため。 12日現在で利用者からの苦情は寄せられていないが市教委はすでにプログラムの修正作業を始めている。
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
HeartBleedの影響についての情報のまとめです。(OpenSSL情報集約のページに書いていましたが量が増えてメンテナンスが大変になってきたため別記事としました。) 「影響あり」は特に記載無い限り、修正版の公開、または対応が済んでいます。随時更新・修正しています。piyokangoが勝手にまとめているだけですので、リスト掲載の情報だけを鵜呑みにせずリンク先の情報を確認してください。また掲載されていない情報があれば、@piyokangoまで教えて頂けると嬉しいです。 1. OS 対象名 CVE-2014-0160の影響 対象製品・バージョン Windows 影響なし − OSX 影響なし − Android ●影響あり(修正版提供時期不明) 4.1.1 iOS 影響なし − BlackBerry(smartphone) 影響なし − RHEL ●影響あり(日本語) 6.5,7 Beta
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人が日常で利用するネットショッピングやクラウドサービス。ウェブサイトで入力する際のIDやパスワード、個人情報やクレジットカード番号といった重要な情報をやりとりする際に使用されているのが「SSL(Secure Socket Layer)」だ。 SSLは、これらの重要な情報を暗号化して安全に送受信するための技術だ。情報を暗号化するSSLの機能と、ウェブサイトを運営する会社の身元を確認できる機能を備えるのが「SSLサーバ証明書」となる。 当然ながら、そのSSLサーバ証明書を発行する提供会社は、数多くある。今回訪ねたベリサインブランドを有するシマンテックもそのひとつだ。米シマンテックは2012年11月、日本ベリサインを完全子会社にしている
外部サイトのJSファイルを読み込むときに、こういう書き方するのはやめましょう。 <script src="http://example.com/js/jquery.js"></script> 理由 あなたのサイトが、いつの日かSSLに対応することになったとき、そのscriptタグがバグの原因になります。 ご覧のとおり、HTTPSページの中でHTTP要素を読み込もうとすると、ブラウザによっては安全装置が働いて読み込んでくれないのです。 上の例ではjQueryの読み込みに失敗していますが、エラーメッセージ「Uncaught ReferenceError: jQuery is not defined 」を見てもHTTPS/HTTPのプロトコルが原因だとはすぐ気づかないので、わかりにくいバグになってしまいます。 結論 JSファイル(とかCSSとか画像とか)を読み込むときは、"http:"の部分を省
Firefoxでハローワークのサイトを開くと警告 「安全性が確認できません」 1 名前: 河津掛け(兵庫県):2013/12/11(水) 14:41:05.75 ID:QsLZscJW0 GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に 日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。 GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自に ルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれて いないために問題が発生し
スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の2種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したこと サーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること 前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です(証明書の検証に失敗した場合はSSL_connectがエラーを返します)。 一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ
自分で動かしてるbotは数日前に対応したんだけど、今日になって案の定止まってるbotが世の中に多数見受けられて趣深い。 明日(日本時間1月15日)、http://t.co/oqZfJidvPtへのアクセスがSSL(HTTPS)のみになります。 詳しくは https://t.co/aDulkhaqYg (英語)をご覧ください。— TwitterDevJP (@TwitterDevJP) 2014, 1月 14 別にperlだから止まってるとかではなくて、httpsじゃなくてhttp経由でアクセスしてたbotが全滅しているというお話。 perl……というかNet::Twitter使ってる人はさくっとコンストラクタのところを書き換えればよい。 my $tweet=Net::Twitter::Lite::WithAPIv1_1->new( consumer_key => 'ひみつ', consum
データプライバシー パーソナルデータ RFID(ICタグ/Wi-Fi/Bluetooth) 契約者・端末固有ID(ケータイID) IPv6 ストリートビュー Webビーコン スパイソフト プライバシーポリシー 行動ターゲティング 情報セキュリティ UDID/かんたんログイン Phishing(フィッシング詐欺) PKI(オレオレ証明書) SSL/HTTPS 電子政府 愚かな設定指示 脆弱性対応 サニタイジング Webセキュリティ ICカード(Edy/Suica/PASMO) ドメイン名 CAPTCHA FUD その他のセキュリティ 刑事刑法/行政刑法 不正指令電磁的記録に関する罪 岡崎図書館事件 不正アクセス禁止法 Winny 単純所持罪 通信の秘密 誤認逮捕 話題対象別 携帯電話 無線LAN Tポイント グーグル アマゾン ウイルスバスター プレイステーション 武雄市 はてな その他 無
[対象: 全員] Googleは、Googleアカウントのログイン状態にかかわらず、すべてのGoogle検索をHTTPSでの接続つまりSSL検索を利用するように仕様を変更しました。 すでに実施済みです。 僕たちにとってこれが何を意味するかというと、Google検索からのトラフィックの検索キーワードを取得することが不可能になります。 Googleアナリティクスでいうと、「(not provided)」だけになってしまいます。 HTTPSへ強制的にリダイレクト Googleアカウントからログオフした状態で、http://www.google.co.jp/ のように http:// で始まるURLでGoogle検索にアクセスしても、 https:// で始まるURLに強制的にリダイレクトされます。 FirefoxやChromeでは、ブラウザが内蔵しているGoogle検索ツールやアドレスバーからG
米Facebookは7月31日(現地時間)、2年前からオプションで提供してきたHTTPS接続を、全ユーザーのデフォルト設定にしたと発表した。 HTTPSは暗号を使ってインターネットトラフィックを保護するもので、Transport Layer Security(TLS)プロトコルを使用する。米Googleの検索は2011年10月から、米Twitterは2012年2月から、HTTPS接続がデフォルト設定になっている。 Facebookでは、この2年間でユーザーの約3分の1以上がHTTPSオプションを有効にしていたという。同日からwww.facebook.comへのトラフィックのすべてと、モバイルサイト(m.facebook.com)へのトラフィックの80%がHTTPS経由になったという。AndroidおよびiOS向け公式Facebookアプリは以前からHTTPS接続がデフォルトになっている。
Livedoor RENTALSERVER 使ってるわけなんですが、決裁サイトが更新されて新しくなったので、クレジットカード情報を再登録してくれってメールが来たんですが 接続の安全性を確認できません pfve03.flxsrv.com:50443 に安全に接続するように求められましたが、接続の安全性が確認できませんでした。 安全に接続する場合は通常、あなたが適切な相手と通信することを確認できるように、信頼できる証明書を提供してきます。しかし、このサイトの証明書は信頼 性を検証できません。 どうすればよいのか? これまでこのサイトに問題なく接続できていた場合、このエラーが表示されるのは誰かがこのサイトになりすましている可能性があるということであり、接続す べきではありません。 pfve03.flxsrv.com:50443 は不正なセキュリティ証明書を使用しています。 自己署名をしているため
候補者のニセサイトを作りウソの情報を流したり、政治献金を集めるなど、不正が起こる可能性があります。 現在でも、金融機関のニセサイトが発見され、実際に金銭的な被害が発生するなど大きな問題となっています。 候補者・議員・政党の公式サイトには、専用シールが貼られています。 「なりすましサイト」や「ニセサイト」には貼ることができない特別なシールです。 まずは、閲覧しているウェブサイトに専用シールが貼られているか確認しましょう。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く