Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
なぜb-casは失敗してインターネットはうまくいくのか? - アンカテ
前のエントリで書いたように、b-casは用途を広げた時に前提条件が変わってしまったために、小さな「あってはならないこと」が起きただけで、手当ての方法が無くなってしまいました。 では、これと同じような見方で、インターネットそのものに「あってはならないこと」が起きた時どうなるか、について書いてみたいと思います。「インターネットそのもの」と言っても、一般の人が目にする「インターネット」の中でセキュリティをしっかり守らなければいけないのは、オンラインショッピングの時に使われる「SSL」という通信方式です。 アドレスが「https://」で始まるサイトにアクセスすると、そのアドレスの横に鍵の形の「安心マーク」が表示されます。オンラインショッピングで決済の画面やクレジットカード番号を入れる画面では必ずそうなっていると思いますが、これが今「SSL」を使っているよ、「SSL」がうまく動いているよというお知
Webサイト常時SSL化のススメ - @IT
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
LGPKI の自己署名証明書・フィンガープリント一覧のページがオレオレ証明書化している, Mac OS X がいつの間にか LGPKI 対応になっていた - [ぴ](2008-07-12)
_ [電子政府][PKI] LGPKI の自己署名証明書・フィンガープリント一覧のページがオレオレ証明書化している まるちゃんの情報セキュリティ気まぐれ日記経由で知ったのだが、「地方公共団体組織認証基盤(LGPKI)における「WebTrust for CA」検証報告書の取得について」というプレスリリースが(財)地方自治情報センター (LASDEC) から出ていた。 2006年9月に LGPKI のルート証明書が飛び入りで IE 標準装備になった時の前提条件が約2年越しでついに実現されたらしい。 これ自体はめでたいことで、確かに評価されていいことだと思う。よくやった、感動した。 …ところが、LASDEC はこれと同時にとんでもないことをしてくれてしまった。 これである↓ … LGPKI の証明書ダウンロードおよびフィンガープリント一覧のページを保護しているサーバ証明書がオレオレ証明書に変えら
](https://cdn-ak-scissors.b.st-hatena.com/image/square/d228e8be070c32c738781e15c25aeb18f4dc6807/height=288;version=1;width=512/https%3A%2F%2Fpmakino.jp%2Ftdiary%2Ftheme%2Fogimage.png)
非公開サイト
サイトの構築。作品の販売。ブログの投稿。この他にもさまざまな機能があります。 ログイン サイトをはじめよう 非公開サイト このサイトは現在プライベート設定になっています。
Twitter、HTTPS接続をデフォルト設定に
米Twitterは8月23日(現地時間)、3月から選択制で利用できたTwitter.comへのHTTPS接続をデフォルトで利用できるようにすると発表した。 これまで、HTTPS接続するにはユーザー設定の「ユーザー情報セクション」から「常にHTTPSのみを利用」を選択する必要があったが、公式ツイートによると、現在一部のユーザーに対し、デフォルトでこの設定を選択するようにしたという。 Twitterは安全のためにHTTPSでの接続を勧めているが、回線速度が遅い場合はHTTPSでの接続はHTTPでの接続より遅くなる場合があり、また、画像や動画付きのツイートを開くとエラーが発生する可能性があるという。 なお、iOS向け公式アプリでは、アカウントでの設定に関係なく、やりとりはすべてHTTPSで暗号化されている。モバイルのWebブラウザからのアクセスでは、https://mobile.twitter.
端末の耐タンパ性とネットワークセキュリティ | 水無月ばけらのえび日記
SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。 (~中略~) これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。 これはちょっとわかりにくい記事だと思いました。 まず、普通の利用者が普通に利用する際に中間者攻撃が問題になることはないはずです。サーバ証明書を検証することによって中間者攻撃を防ぐ仕組みがありますので、普通の利用者は中間者攻撃を恐れる必要はありません (PS3 (www.amazon.co.jp)自体に脆弱性がなければの話ですが)。
[perl] lwpでコンテンツを取得するときに"500 Can't verify SSL peers without knowning which Certificate Authorities to trust"というエラーが出たらMozilla::CAをインストール - 綾小路龍之介の素人思考
[perl] lwpでコンテンツを取得するときに"500 Can't verify SSL peers without knowning which Certificate Authorities to trust"というエラーが出たらMozilla::CAをインストール lwpはperlで様々なプロトコルを喋るクライアント。これを使ってコンテンツを取得するときに、"500 Can't verify SSL peers without knowning which Certificate Authorities to trust"というエラーがでる。これはどうやらlwp 6.00以降に起きる問題のようだ。このときはIO::Socket::SSL と Mozilla::CAを導入する。 例えば以下のようなエラーがでる。 $ lwp-download "https://github.com/"
よくあるご質問 | 北國銀行
よくあるご質問 文字サイズ変更 S M L チャットで質問をどうぞ TOPへ 各種お手続き ご希望のお手続きをお選びください お客さま情報の変更 (名前/住所/電話番号) 紛失・再発行 (カード/通帳/印鑑) 北國クラウドバンキングの お困りごと カードや通帳が 利用できない よく見られているご質問 カテゴリーから探す ATM(48件) 困ったときは(6件) |引出し・預入れ(14件) |振込(9件) |〇〇はできますか(7件) |提携ATM(8件) |その他(4件) 口座開設・通帳・キャッシュカード(62件) 困ったときは(10件) |口座開設(14件) |通帳(19件) |キャッシュカード(17件) 各種お手続き(191件) お客さま情報の変更(19件) |窓口振込(13件) |定額自動送金(13件) |相続(5件) |口座振替(9件) |北國Web口座振替受付サービス(5件) |外貨
実在証明つきSSL(企業認証SSL)は無意味じゃね? | beroの日記 | スラド
まとめ: 一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味。 「VeriSignシール」という幻想(高木浩光@自宅の日記) VeriSignのセキュアシールを間違って使ってるサイトがある、という話なのだが、 開発会社ですらこうなのだから、まして一般利用者が理解してるかどうか。 あの「セキュアシール(サイトシールと呼ぶ業者も)」(VerisignとかGlobalSignのロゴ画像)がただの飾りではなく、クリックして確認するものである、ということを(自称詳しい人も含めて)自分の周りでは誰も知らなかったことに愕然とした。 webの安全啓蒙資料の類でも、「クレジットカードや個人情報を入力するときは鍵マークを確認しましょう」くらいは説明していても、セキュアシールに言及しているものは(SSL業者自身の広報資料を除くと)少ないと思う。 シールをクリックして実在証明を確認するという
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
Mozilla、「Firefox 3.6」正式版をリリース
新ブラウザでは、JavaScriptエンジンの実行速度が20%以上高速になり、プラグインチェックツールや“着せ替え”機能「Persona」を搭載した。 Mozilla Foundationは1月21日、新Webブラウザ「Firefox 3.6」の正式版をリリースした。Firefox 3.5から約半年ぶりのアップデートになる。Windows、Linux、Mac OS X向け70カ国語版がFirefoxのページからダウンロードできる。 Firefox 3.6は、バックエンドの強化によってアプリケーション全体の体感速度を向上し、JavaScriptエンジン「TraceMonkey」の実行速度も従来比20%以上高速になったという。Windows 7に正式に対応し、操作性・安定性・体感速度の向上、起動時間の短縮が行われた。また、ワンクリックでブラウザの“着せ替え”を楽しめる「Personas」を標準
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
江別市情報図書館 利用案内
Windows7版IE8の証明書エラー対応について - 江別市情報図書館 (PDF)
米Microsoft、Windows AzureがSSL証明書失効で約12時間サービス機能停止に 
スマートフォンアプリのSSLとか
PC
フィッシングサイトとそうでないサイトを区別できますか?
「Firefox 3.6」22日午前2時公開、プラグインチェックなど新機能 