高木浩光@自宅の日記 - 公衆無線LANで使うと危ないiPod touchアプリに注意
■ 公衆無線LANで使うと危ないiPod touchアプリに注意 ヨドバシカメラでiPod touchを購入すると公衆無線LANサービスの加入案内が付いてくるように、iPod touchは、公衆無線LANでの使用が奨励されている機器である。 しかし、現状の公衆無線LANサービスは、無線通信の暗号化に用いる鍵が加入者全員で同一のところがほとんどであり(あるいは、暗号化しないところもある)、電波を傍受されて通信内容を読まれる危険性や、気付かないうちに偽アクセスポイントに接続してしまう(そして、通信内容を読まれたり書き換えられたりする)危険性がある。 ただ、現時点では、このリスクはしかたのないものとして受容されており、その代わりに、パスワードや重要な情報を送受信する際には、アプリケーションレベルでの暗号化(SSL等の使用)が必須という考え方になっている。 つまり、Webブラウザを使う場合であれば
ANAのシステム障害、原因は「認証機能の有効期限切れ」
全日本空輸(ANA)は9月18日、14日に起きた大規模なシステム障害の原因は、空港のカウンターで係員が操作する端末を認証する際、認証サーバの暗号化認証機能の有効期限が切れていたためと発表した。 システム障害は14日未明に発生。端末に旅客データを取り込むことができなくなり、計63便が欠航、357便が遅延。約7万人に影響が出た。 原因は、端末認証管理サーバの暗号化認証機能の有効期限が9月14日1時44分までに設定されていたこと。空港のカウンターに設置された端末を係員が使おうとした際、暗号化処理でエラーが出た。 同サーバは2005年9月に導入した。当初は暗号化認証機能を使用するシステムがなく、有効期限を初期設定の3年(08年9月14日まで)のままにしていた。07年に認証機能を使い始めたが、有効期限の確認を怠っていた。 15日、16日は暫定的なシステムで運用し、原因を究明。有効期限が原因と特定し、
高木浩光@自宅の日記 - B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA
■ B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA B-CAS社の「オンラインによるB-CASカードのユーザー登録」の画面から、登録画面に進むと、個人情報入力画面が現れるのだが、ここでページが https:// になっていることを確認の上、サイト証明書の内容を確認してみると、「NTT DATA CORPORATION」と表示される。 よく見てみると、さっきまでは b-cas.co.jp を閲覧していたはずが、この画面はいつのまにか、b-cas.jp という別サイトに飛ばされている。 しかも、b-cas.jp ドメインの保有者が誰なのか、whois で調べてみると、さらに別の会社になっている。 不特定多数からの大量の登録を受け付けるサイトにしてはずいぶんと稚拙だ。
高木浩光@自宅の日記 - 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か
自己署名の証明書になっていた。 これは明らかにセキュリティ脆弱性だ。この種類の脆弱性(ブラウザが証明書を検証しない)は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるのではないかと考え、IPAの脆弱性届出窓口に通報した。 この届け出は3月27日に受理された。そして本日、JVNで公表となった。修正版が提供されているので、利用者はアップデートで対応できる。 JVN#76788395 ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性, JVN, 2008年4月23日 パーソナルコミュニケーター "mylo" COM-2 セキュリティ脆弱性対策プログラムご提供のお知らせ, ソニー株式会社, ソニーマーケティング株式会社, 2008年4月2
SSLってそんなに重要なんですか・・・?
http://takagi-hiromitsu.jp/diary/20071117.html#p01 セキュリティの専門家はそんな風にいうかもしれないけど、 なんとなく地銀の内部事情も窺い知れるというもの。 そもそも武銀のネットバンクにどれだけユーザーがついているのか。 異常な入出金なんて人間系ですべてチェックできるレベルなのではないか。 そんなレベルなんじゃないの? 設計が悪いという指摘はごもっとも。 だが、そもそもその手の地銀が自前でシステムを構築してないんじゃないか? サーバー運用まるごと委託している可能性の方が高い。 担当者の銀行に対する説明が不十分であるのは否めないが、 たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高い。 認証をとってしまうとある銀行の負荷が増えて参照サーバーをちょっと動かしちゃえなんていう離れ業ができなくなる。 逆にいうとそういう離れ
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
net/httpsライブラリにおける「中間者によるなりすまし攻撃」に対する脆弱性について
Posted by Shugo Maeda on 4 Oct 2007 Rubyに標準で添付されているnet/httpsライブラリ(net/https.rb)において、このライブラリを使用してhttpsプロトコルを発行した場合、中間者によるなりすまし攻撃(man-in-the-middle attack)を検出できないという問題が発見されました。 この脆弱性については、<URL:http://www.isecpartners.com/advisories/2007-006-rubyssl.txt>として公開されています。 影響 net/http.rbでは、SSL接続の際に、証明書のCNがリクエスト先のDNS名に対して検証されません。これにより、攻撃者がリクエスト先のサーバになりすますことが可能になります。 脆弱性の存在するバージョン 1.8系 1.8.4以前の全てのバージョン、1.8.5-
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記
■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている
Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ
Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。 Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。 それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。 こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。 ログイン時にhttpsを
ホスティングサービス・レンタルサーバー「ことねっと」 「セキュリティの警告」について
この警告は何を言っているのでしょう? この警告表示を見て「このサイトは信用できないんじゃないか?」とお考えになるのではないでしょうか? そうであったとしても無理はありません。 「問題があります」と表示されては、誰でも心配になるものですよね? 実は、こんな意味を持っています。 このサイトと取り交わす情報は、ほかの人から読み取られたり変更されることはありません。 まず、先頭の文章から「ことねっと どっと こむ」が、お客様と「ことねっと」の間の通信を『安全な通信』にしようとしていることがご理解いただけると思います。 この一文は「あなたが『はい(Y)』をクリックすれば、以後の通信は暗号化され、安全に情報を送受信できます。」と言った意味になります。 もう少し詳しく申し上げますと、この警告は「SSL」での通信を開始しようとした時に現れます。 「SSL」は通信を暗号化する技術の一つとお考え下さい。 イン
IE7 は 128bit が好きらしい | 水無月ばけらのえび日記
IE7のAES対応の続き。 Vista の IE7 と Firefox2 は双方とも AES に対応しているものの、Firefox が 256bit で通信できるのに対して、IE7 は 128bit になってしまいます。IE7 は 256bit に対応していないのか? と思いつつ Wireshark でパケットキャプチャして、Client Hello を確認してみると、以下の12の Cipher Suites をこの順番で出していました。 TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) TLS_RSA_WITH_RC4_128_SHA (0x0005) TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) TLS_ECDHE_ECDSA_WITH_AES_128_
皆さんの通信データ、実はこんなに見えちゃってます:日経パソコンオンライン
前々回、怪しい通信が飛び交っている話をしましたが、それを読んだ方から「具体的にどう見えるのか、イメージがわかない」という感想をいただきました。たしかに、見える見えると言われても、実物を見ないと実感がわかないかも知れません。 というわけで、日常的に使っているさまざまなプロトコル(通信手段)のデータを生で見てみましょう。今回も前々回同様、通信データのキャプチャツールである「WireShark」を使いました。 まずはメールの受信データです。 もちろん、ヤバイところは隠してあります。しかし、はっきりIDとパスワードが見えてますよね。こんな調子で中身を見てしまうことは、ごく簡単だったりします。 次に、自分のWebページを持っている人(最近は少ないんでしょうかね)が使うFTPの中身です。 バッチリ見えてしまってますね(笑)。しかし、何でこんなに簡単に見えちゃうんでしょうか。…もしかしたらそんな疑問を
作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ
以下5種類の認証局に対応したルート証明書(以下、端末側ルート証明書)が、SSL対応機種にそれぞれ搭載されています。 下記ルート証明書によって認証されているサーバ証明書に対応しています。 SSL対応機種によって搭載されている証明書が異なります。詳細は、各ルート証明書のSSL対応機種への搭載状況を参照ください。 VeriSignクラス3 Primary CAルート証明書 VeriSignクラス3 Primary CAルート証明書G2(セカンド・ジェネレーション) RSAセキュアーサーバ・ルート証明書 Equifax Secure Certificate Authority Equifax Secure eBusiness CA-1 GeoTrust Global CA
認証サイトは緑、問題サイトはアドレスバーが赤くなる ― @IT
2007/02/21 「EV(Extended Validation) SSL証明書」の普及活動が国内でも少しずつ表面化してきた。2月15日には国内の電子認証関連事業者8社とマイクロソフト、Mozilla Japanが発起人となって有限責任中間法人 日本電子認証協議会が発足した。2月21日には同協議会の発起人の1社であるサイバートラストが記者向けに会見をひらき、「EV SSL証明書」の意義を改めて解説した。フィッシング詐欺をはじめ、インターネット上での身分詐称やなりすまし犯罪を防止するための新たな枠組みである。 SSL証明書が発行される従来のプロセス(証明書発行審査プロセス)では、電子認証局ごとに審査基準の独自裁量が認められていた。また、SSL暗号化通信が行われていれば、Webブラウザの右下に鍵マークが表示されることから、ユーザーにとっては自身が接続したサーバの管理者が電子認証局によるきち
MS、IE 7にフィッシング詐欺対策用の新機能を追加
Microsoftは、フィッシング詐欺に対抗する「Internet Explorer 7」(IE 7)の新機能のスイッチを静かに入れた。 取材に応じたMicrosoftのWindows担当プロダクトマネージャーであるMarkellos Diorinos氏によると、同社は1月上旬、コンピュータシステムに変更を加え、新しい高信頼性証明書に適合するウェブサイトをIE 7で閲覧した際に、アドレスバーが緑に表示されるようにしたという。 「われわれは、これをうまく機能させるために必要なパーツの多くを配備してきた。そして、すべての可動部品の準備が整う段階に近づきつつある」と、Diorinos氏は語った。Microsoftは、米国時間2月5日から9日にかけてサンフランシスコで開催される「RSA Conference 2007」で、緑のアドレスバーを宣伝する計画だ。RSA Conference 2007は、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Firefox 3のSSL証明書ポリシー変更で閲覧不能サイト増加の可能性
高木浩光@自宅の日記 - 主婦の友社が早速やらかしてくれました
GoogleAnalysticsはSSLに対応しているのでしょうか。…
技術情報 EZwebにおけるSSLの仕組み
SoftBank Developers Support Site > ウェブ > SSL/TLS