HTTPSは安全なのか? - Qiita
いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
What's New in DevTools (Chrome 117) | Blog | Chrome for Developers
Network panel improvements Override web content locally even faster The local overrides feature is now streamlined, so you can easily mock response headers and web content of remote resources from the Network panel without access to them. To override web content, open the Network panel, right-click a request, and select Override content. If you have local overrides set up but disabled, DevTools en
Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service —
TL;DR: we have discovered XMPP (Jabber) instant messaging protocol encrypted TLS connection wiretapping (Man-in-the-Middle attack) of jabber.ru (aka xmpp.ru) service’s servers on Hetzner and Linode hosting providers in Germany. The attacker has issued several new TLS certificates using Let’s Encrypt service which were used to hijack encrypted STARTTLS connections on port 5222 using transparent MiT
What's New in DevTools (Chrome 118) | Blog | Chrome for Developers
New section for custom properties in Elements > Styles The Elements panel now supports the @property CSS at-rule. It lets you define CSS custom properties explicitly and register them in a stylesheet without running any JavaScript. To inspect your registered custom properties, in Elements > Styles, hover over the property name and see its descriptors in a tooltip. In the tooltip, click the link to
Bluesky and the AT Protocol: Usable Decentralized Social Media
Bluesky and the AT Protocol: Usable Decentralized Social Media Martin Kleppmann martin.kleppmann@cst.cam.ac.uk University of Cambridge Cambridge, UK Paul Frazee Jake Gold Jay Graber Daniel Holmgren Bluesky Social PBC United States Devin Ivy Jeromy Johnson Bryan Newbold Jaz Volpert Bluesky Social PBC United States ABSTRACT Bluesky is a new social network built upon the AT Protocol, a de- centralize
Mitigating the Hetzner/Linode XMPP.ru MitM interception incident
Other articles in this series: Let's Encrypt now supports ACME-CAA: closing the DV loophole Mitigating the Hetzner/Linode XMPP.ru MitM interception incident Mitigating the Hetzner/Linode XMPP.ru MitM interception incident, part 2: XMPP-specific mitigations Expect-CT Lite: A humble proposal for minimal CT enforcement in TLS certificates (If you just want some recommendations for what to do, skip do
Introducing Sunlight, a CT implementation built for scalability, ease of operation, and reduced cost - Let's Encrypt
Let’s Encrypt is proud to introduce Sunlight, a new implementation of a Certificate Transparency log that we built from the ground up with modern Web PKI opportunities and constraints in mind. In partnership with Filippo Valsorda, who led the design and implementation, we incorporated feedback from the broader transparency logging community, including the Chrome and TrustFabric teams at Google, th
Bluesky and the AT Protocol: Usable Decentralized Social Media Martin Kleppmann martin.kleppmann@cst.cam.ac.uk University of Cambridge Cambridge, UK Paul Frazee Jake Gold Jay Graber Daniel Holmgren Bluesky Social PBC United States Devin Ivy Jeromy Johnson Bryan Newbold Jaz Volpert Bluesky Social PBC United States ABSTRACT Bluesky is a new social network built upon the AT Protocol, a de- centralize
DevTools の新機能(Chrome 120) | Blog | Chrome for Developers
サードパーティ Cookie の段階的廃止 サイトでサードパーティ Cookie が使用されている可能性があるため、Google でのサポート終了が近づいているため対応が必要です。影響を受ける Cookie への対処方法については、サードパーティ Cookie のサポート終了に備えるをご覧ください。 [サードパーティの Cookie の問題を含める] チェックボックスはすべての Chrome ユーザーに対してデフォルトでオンになっています。そのため、[問題] タブに、サードパーティ Cookie の今後のサポート終了と段階的廃止の影響を受ける Cookie についての警告が表示されるようになりました。このチェックボックスはいつでもオフにして、これらの問題が表示されないようにすることができます。 Chromium の問題: 1466310。 プライバシー サンドボックス分析ツールでウェブサイ
Theme 第 140 回のテーマは 2023 年 12 月と 2024 年 1 月の Monthly Platform です。 Show Note Chrome 動向 Stable: 120 Updates New in Chrome 120 | Blog | Chrome for Developers https://developer.chrome.com/blog/new-in-chrome-120?hl=en CloseWatcher API. <details> name attribute Permission policy violation reports And more! Further reading Subscribe Chrome 121 beta https://developer.chrome.com/blog/chrome-121-beta CSS CSS
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
2024-04-16 Making Network Education More Accessible: Practical learning with the Mini Internet Project Making Network Education More Accessible: Practical learning with the Mini Internet Project 場所 インターネットイニシアティブ 13階 Cantata 話者 Christoff Visser (IIJ技術研究所) 参加登録 https://iijlab-seminars.connpass.com/event/314498/ The rapid evolution of the Internet and its technologies necessitates innovative educati
DevTools の新機能(Chrome 123) | Blog | Chrome for Developers
イースター エッグを見つける 今年のエイプリル フールを祝うため、DevTools チームは DevTools のどこかにイースター エッグを非表示にしました。 見つけるには、カラフルな 💫? 絵文字を探してください。 [要素] パネルの更新 このバージョンでは、[Elements] パネルに複数の更新を加えています。 [要素] > [スタイル] でフォーカスされているページをエミュレートする [要素] > [スタイル] タブの [要素の状態を切り替える](:hov)ボタンの下に、check_box [フォーカスしたページをエミュレート] オプションが追加されました。これまでは、このオプションは [Rendering] パネルにしか表示されませんでした。 ページから DevTools にフォーカスを切り替えると、一部のオーバーレイ要素はフォーカスによってトリガーされると自動的に非表示にな
Sigstore で OSS コード署名
注意 Sigstore の Keyless Signing は開発段階で実験的に実装されているため、今後本稿で説明している内容から仕様や実装方法が変更する可能性があります。 サイバートラストは、オープンソースソフトウェアに署名と検証を行い、OSS のサプライチェーンを保護するための標準規格およびサービスである Sigstore 運用可能性の検討に取り組んでおり、本記事では検討の一次成果として、Sigstore の仕組みについての調査結果を解説します。 経緯 2021 年 7 月にサイバートラストが Open Source Security Foundation(以下、OpenSSF)に参画しました。 多くのオープンソースソフトウェア(OSS)は、コミュニティの主導で開発されており、全体の品質やメンテナンスに責任を持つ中央機関がなく、ソースコードの再利用が可能でバージョン管理や依存関係が複雑
証明書の透明性 - Wikipedia
証明書の透明性(英: Certificate Transparency、CT)は、デジタル証明書の発行の監視・精査を目的に策定されたインターネット標準である[1]。この標準は、信頼される認証局が署名した証明書を逐次記録し、それを検索する公開のログのシステムを作るというものである。これにより、誤操作や悪意ある証明書の発行を効率よく検知できる[2]。 CTの初版は実験的のステータスであるRFC 6962で規定されている。バージョン2.0はRFC 9162で規定されている。 2021年には、TLS用の証明書でCTが必須となる予定である[3][4]。TLS用以外では引き続きCTは必須ではない。 経緯[編集] 2011年、Comodo Cybersecurity(英語版)の認証局の再販業者が不正侵入され、別の認証局DigiNotar(英語版)でも不正な証明書発行が行われた(2011年デジノター事件)
DevTools の新機能(Chrome 127) | Blog | Chrome for Developers
[要素] パネルで CSS アンカーの位置を調査する アンカーの位置指定機能をデバッグしやすくするため、[スタイル] タブでは、明示的なアンカー ID と暗黙的なアンカーをノードにリンクできるようになりました。 また、popovertarget 属性値が DOM 内の popover 要素にリンクされるようになりました。 Chromium の問題: 289900232、330306231。 ソースパネルの改善 このバージョンでは、[ソース] パネルにいくつかの改善を加えています。 「ここは一時停止しない」の強化 [Never Pause Here] オプションを使用すると、Debugger が同じ行で何度も一時停止することを防止できます。これにより、繰り返し配信される無関係なブレークポイントの処理が容易になります。このバージョンではこの機能が強化され、次のデバイスで動作するようになりました
DevTools の新機能(Chrome 125) | Blog | Chrome for Developers
Gemini でコンソール内のエラーと警告についての理解を深める この Chrome バージョンでは、発生したエラーや警告をより詳しく把握できるように、DevTools コンソールに生成 AI 機能が導入されています。 エラーまたは警告の AI 生成の説明を取得するには、コンソールのメッセージの横にある [このエラーについて(警告)] ボタンをクリックし、手順に沿って操作します。 詳しくは、AI でエラーと警告をより的確に把握するをご覧ください。 @position-try ルールが [要素] > [スタイル] でサポートされるようになりました CSS アンカーの配置をデバッグできるように、[要素] > [スタイル] タブで @position-try CSS ルールがサポートされるようになりました。このタブでは、position-try-options 値が解決され、各オプションが専用の
#Tags | blog.jxck.io
3pca 2023-12-30 3PCA 最終日: 3rd Party Cookie 亡き後の Web はどうなるか? 2023-12-29 3PCA 27 日目: FedCM 2023-12-28 3PCA 26 日目: Related Website Sets 2023-12-27 3PCA 25 日目: Measurement 2023-12-26 3PCA 24 日目: Retargeting 2023-12-25 3PCA 23 日目: Interest Based Advertising 2023-12-24 3PCA 22 日目: Privacy Sandbox 2023-12-21 3PCA 21 日目: SameSite Cookie 2023-12-20 3PCA 20 日目: 3rd Party Cookie Deprecation 2023-12-19 3PCA 1
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
ドメインやサブドメインを調査する話(後編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
Bluesky and the AT Protocol: Usable Decentralized Social Media
ep140 Monthly Platform 202401 | mozaic.fm
ドメインやサブドメインを調査する話(後編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
セミナー [研究開発] IIJ Research Laboratory