HTTPSは安全なのか? - Qiita
いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え
RSAに対するフェルマー攻撃 - Qiita
はじめに(Introduction) RSAの鍵ペアの生成方法にミスがあり脆弱性となってしまった実装例があったようです。 元の文献を機械翻訳(ちょっと修正)してみます。 原文のデモをやってみたところ、案外動いたので先にデモを記します。 デモ(Demo) まずは、素数$p$と$q$を生成して$N$を求めるところです。 ※:鍵長が2048bitなので多少時間がかかります。 問題となったライブラリがこのようなロジックであったかは不明ですが、翻訳した資料を参考に作成しています。 import random as rnd import sympy key_length = 2048 distance = 10000 p = 0 q = 0 # 乱数Xを生成する。 X = rnd.randrange(2, pow(2, key_length)) for i in range(distance): #
Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記
1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、この脆弱性の報告者がNSA(米国家安全保障局)だったことです。NSAはMicrosoftのアナウンスとは別により詳しい内容でこの脆弱性を警告するアナウンスを出しています。 「Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers」 これまで数々の諜報活動をインターネット上で行ってきたNSAが、この脆弱性を
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) | DevelopersIO
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) SSL/TLS証明書(以下証明書)には証明書の監視や監査を行って証明書の信頼性を高める「Certificate Transparency(証明書の透明性;以下CT)」という仕組みがあります。 Certificate Transparency : Certificate Transparency CAが証明書を発行する際には、パブリックなCTログサーバーに発行履歴を登録し、ログサーバーから受け取った署名付きのタイムスタンプ(SCT;Signed Certificate Timestamp)を埋め込んだ証明書を発行します(埋め込まない方法も有り)。 ブラウザは証明書に埋め込まれたSCTを確認し、存在しなければ証明書を不正とみなします(ブラウザによ
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告 - ぶるーたるごぶりん
GitHub の Reverse Proxy 型フィッシングサイトの発見と報告 こんにちは、でじこだにょ 今回は GitHub を狙った Reverse Proxy 型のフィッシングサイトを探していこうと思います。 (長いので、Reverse Proxy 型のことをプロキシ型と略しちゃいます) 結論から書くと、24件のフィッシングサイトを新規に発見して報告しました。 今回はそれらのフィッシングサイトの探し方のほか、フィッシングサイトの検出方法や、 セーフブラウジングなどの話をしつつ、 今回見つけたフィッシングドメインに対して、簡単ではありますが、調査と考察を行ってみたいと思います。 探そうとしたきっかけ 数日前、 Twitter を見ていたところ、こちらのツイートが流れてきました。 あっぶね GitHubだと思ったら全然違ったわ pic.twitter.com/SRtHUu3XDM— ./
ウェブアプリに対する典型的な攻撃手法とその対策まとめ
ブラウザの機能が強化されるとともに、多様なアプリケーションがウェブ上で実現できるようになっています。同時に、ウェブサイトやウェブアプリが重要な情報を取り扱うケースも増えて、ハッカーの攻撃対象になることも多くなってきました。そうした場面でハッカーがよく利用する典型的な攻撃手法とその対策について、エンジニアのヴァルン・ナイクさんがブログにまとめています。 CSRF, CORS, and HTTP Security headers Demystified https://blog.vnaik.com/posts/web-attacks.html ◆1:CSRF CSRFはクロスサイトリクエストフォージェリの略称で、ユーザーがログイン済みのウェブサイトに対して第三者がアクションを実行させる攻撃のことです。攻撃は下記の手順で行われます。 1. ユーザーが悪意あるウェブサイトにアクセスする 2. 悪意
cybozu.com Cloud Platformチームのhsnとtomoです。今回はサイボウズで証明書更新の自動化を安全に行うための工夫をご紹介します。 背景 サイボウズではcybozu.comのサービスを提供するために数多くの証明書を取得し、管理しています。 今まではそれらをすべて手動で取得し、入れ替えを行っていました。 しかし、元来の運用ではいくつかの問題が浮上してきました。 手動更新の際は認証局によって更新手順が異なります。 具体的にはドメインの所有確認(DCV: Domain Control Validation)と証明書のダウンロード手順を、それぞれの認証局が独自に提供しています。 そのため、ドメインの更新手順書は複雑に長くなってしまいます。結果として更新の準備に時間がかかり、実施の際にミスも発生しやすくなっていました。 サイボウズでは証明書の有効期限が切れる1か月前に管理用の
WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued
WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued Attackers pounce before site owners can activate the installation wizard Attackers are abusing the Certificate Transparency (CT) system to compromise new WordPress sites in the typically brief window of time before the content management system (CMS) has been configured and therefore secured. CT is a web security stan
What's New In DevTools (Chrome 94) | Blog | Chrome for Developers
Use DevTools in your preferred language Chrome DevTools now supports more than 80 languages, allowing you to work in your preferred language! Open Settings, then select your preferred language under the Preferences > Language dropdown and reload DevTools. Preferences" width="800" height="494"> Chromium issue: 1163928 New Nest Hub devices in the Device list You can now simulate the dimensions of Ne
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
フィッシングサイト自動テイクダウンの手法
はじめに 日常的なインシデント調査を効率化するために、自動化による分析は、フィッシング詐欺の分析者にとって重要な課題となっています。 クラウドベースの技術は、効率的にフィッシング詐欺の分析を自動化するための良い解決策です。 今回は、クラウドサービス上でのフィッシング詐欺分析とGoogle Safe Browsing(GSB)を活用した自動テイクダウンの方法について解説していきます。 フィッシングキットの解析結果についてこちらで更に詳しく解説しています。 対象読者 インフラ管理者 DevOpsエンジニア 脅威ハンター フィッシング攻撃の流れ よくあるフィッシング詐欺の流れを以下に示します。 攻撃者はホスティングサーバーを購入する 購入したサーバにフィッシングキットをアップロードしセットアップする 動作確認を完了させた攻撃者は潜在的な被害者に大量のフィッシングメールを送信する 被害者はフィッン
システムログは悪意のある第三者の攻撃や不正を監査するのに役立ちますが、ログそのものを改ざんされてしまっては意味がありません。Googleが開発する「Trillian」は、そんなログの改ざんをハッシュ木を用いて困難にした、オープンソースのログ基盤です。 An open-source append only ledger | Trillian https://transparency.dev/ Trillianは「ウェブサイト証明書の透明性」の確保を目指すGoogle主導のエコシステム「Certificate Transparency」が支援するプロジェクトのひとつです。Certificate Transparencyには、記事作成時点でApple、Google、Facebookなどが協力しています。 第三者の攻撃や内部不正の監査において重要な役割を持つログは、ただ保存するだけでなく高い改ざん
Sigstore によるコンテナイメージの Keyless Signing - Flatt Security Blog
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
Terraform で AWS Certificate Manager 無料証明書を発行する(AWS Provider 3.0.0 以降の場合) | DevelopersIO
先日、Terraform で AWS Certificate Manager(以下、ACM) の無料証明書をリクエストおよび検証まで実装する機会がありました。ちょっと詰まったところがありましたので同じように悩んでココへ辿り着く誰かのためにまとめておきます。 AWS Provider 3.0.0 から仕様変更されています 今回の記事は AWS Provider 3.0.0 以降を対象とします。今回の実行環境は以下のとおりです。 $ terraform version Terraform v0.12.29 + provider.aws v3.4. AWS Provider 2.x 以前は以下のエントリーを参考にしてください。 Error: Invalid index 従来は aws_acm_certificate で作成した無料証明書の検証用レコードは list タイプで domain_val
サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている(The Daily Swig、matsuu序二段さんのツイート)。 The Daily Swig の記事によれば、この攻撃はCertificate Transparency(CT)システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。 この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh
curlでKeyless Signingする (1) - OpenID Connect編 - knqyf263's blog
確実に忘れるであろう将来の自分と、Keyless Signingに異常な興味を持つ日本に数人しかいないであろう人達のための記事です。 背景 前提 Keyless Signing全体のフロー OIDCのフロー 認可コードの取得 IDトークンの取得 手動で試す OpenIDプロバイダーの情報取得 認可コードの取得 code_verifierの生成 code_challengeの生成 Authorization Endpointへのアクセス IDトークンの取得 IDトークンの検証 公開鍵の取得 公開鍵の生成 検証 参考 まとめ 背景 以前sigstoreのソフトウェア署名についてブログを書きました。 knqyf263.hatenablog.com その中でKeyless Signingについては別ブログにすると言っていたのですがサボり続けた結果、全て忘れ去り再び調べる羽目になりました。これはまた
The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature since the security you need depends on your company, product, and assets. (e.hasAttribute('/')) ? e.re
What's New In DevTools (Chrome 95) | Blog | Chrome for Developers
New CSS length authoring tools DevTools added an easier yet flexible way to update lengths in CSS! In the Styles pane, look for any CSS property with length (e.g. height, padding). Hover over the unit type, and notice the unit type is underlined. Click on it to select a unit type from the dropdown. Hover over the unit value, and your mouse pointer is changed to horizontal cursor. Drag horizontally
With an increasing number of breaches, intrusions, and data thefts, securing a web application is extremely important. On the other hand, programmers often do not have a strong grasp of how attacks work and how to mitigate them. This post attempts to close that gap a little. CSRF Cross-Site Request Forgery is an attack where a third party forces a user to execute actions against a site where they
Let’s Encrypt はフリーで自動化されたオープンな認証局です。 2021 年の年次レポートを読む ブログ記事より 2024/05/01 Takeaways from Tailscale’s Adoption of ARI ACME Renewal Info (ARI) enables easy and automated cert revocation and replacement. もっと読む 2024/04/25 An Engineer’s Guide to Integrating ARI into Existing ACME Clients Six steps developers can take to integrate ARI into an existing ACME client. もっと読む 2024/04/12 Deploying Let's Encrypt
What's New In DevTools (Chrome 90) | Blog | Chrome for Developers
New CSS flexbox debugging tools DevTools now has dedicated CSS flexbox debugging tools! When an HTML element on your page has display: flex or display: inline-flex applied to it, you can see a flex badge next to it in the Elements panel. Click the badge to toggle the display of a flex overlay on the page. In the Styles pane, you can click on the new icon next to the display: flex or display: inlin
[PDF] TLSとWebブラウザの表示のいまとこれから ~URLバーの表示はどうなるのか~ 2019/5/31 NTTセキュアプラットフォーム研究所 奥田 哲矢
TLSとWebブラウザの表示のいまとこれから ~URLバーの表示はどうなるのか~ 2019/5/31 NTTセキュアプラットフォーム研究所 奥田 哲矢 ユーザ 認証局 Web サービス ブラウザ 2 SSL/TLSとは? →相手の顔が見えないインターネット上で安全な通信を実現する仕組み ・SSL/TLSの目的は、2者間通信に ”セキュアチャネル” を提供すること ・”セキュアチャネル” は下記機能を提供する。 ・エンドポイント認証:サーバ認証は必須、クライアント認証は任意 (※サーバの運営元の信頼性は必ずしも保証されない → 詳細は本編で) ・データ機密性:通信内容をエンドポイント間で秘匿 ・データ完全性:攻撃者による通信内容の改ざんの検知 はじめに ユーザ Web サービス ブラウザ “セキュアチャネル” Internet 3 T S H R 本編に入る前に 今年のSSL/TLS分野の話
What's New In DevTools (Chrome 77) | Blog | Chrome for Developers
Copy element's styles Right-click a node in the DOM Tree to copy that DOM node's CSS to your clipboard. Figure 1. Copy element styles. Thanks Adam Argyle and VisBug for the inspiration. Visualize layout shifts Supposing you're reading a news article on your favorite website. As you're reading the page, you keep losing your place because the content is jumping around. This problem is called layout
CookieのSameSite属性にFirstPartyLaxを追加する提案仕様 - ASnoKaze blog
2020/11/02 追記 First-Party Sets自体はChromeへの実装が進められる一方、FirstPartyLaxについては廃止されたようです https://bugs.chromium.org/p/chromium/issues/detail?id=989171 https://chromium.googlesource.com/chromium/src/+/04aa50c66dcf995a654c1ee5fd605c6d6738fa1e Cookieのセキュリティ改善を推し進めているGoogleのMike West氏から「First-Party Sets and SameSite Cookies」という提案仕様がIETFで提出されています。 この提案仕様では、CookieのSameSite属性に下記の2つを指定できるようにします。 FirstPartyLax First
What's New In DevTools (Chrome 100) | Blog | Chrome for Developers
Chrome 100 Here’s to the 100th Chrome version! Chrome DevTools will continue to provide reliable tools for developers to build on the web. Take a moment to click around in the What’s New tab to celebrate the milestones. As usual, you can watch the latest What’s New in DevTools video by clicking on the image. View and edit @supports at rules in the Styles pane You can now view and edit the CSS @sup
週刊Railsウォッチ: VSCodeでRubyコード実行結果を表示、rubygems.orgがgem作者に多要素認証を呼びかけほか(20220621後編)|TechRacho by BPS株式会社
こんにちは、hachi8833です。RubyKaigi 2022のCFPが一昨日締め切られました。 Final Call: CFP for RubyKaigi 2022 closes at midnight today (in JST). Don't forget to submit your proposal(s) within 6.hours.from_now! 🥷💨 https://t.co/mLjIuqCsyM #rubykaigi — RubyKaigi (@rubykaigi) June 19, 2022 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@h
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
【Unity】Unite Tokyo 2019 「大量のアセットも怖くない!~HTTP/2による高速な通信の実装例~」講演と壇上では語られなかった6つのこと。 - SEGA TECH Blog
皆さんこんにちは。セガゲームス、開発技術部の山田です。 以前は OpenGL の話を本ブログで紹介したのですが、今回は Unite Tokyo で講演してきたお話です。 本記事は講演の時と同じく、前半は山田、後半は竹原でお送りします。 目次 Unite Tokyo 2019 資料など 質疑中の様子 講演中に語られなかったこと Keep Alive の話 同時ファイルオープン数について 講演で語られなかったこと (竹原より) HPACK の圧縮率を確認する [HPACK]HTTP/2 のヘッダ管理 [HPACK]Huffman Coding での圧縮 [HPACK]インデックス値を用いた圧縮 : Static Table [HPACK]インデックス値を用いた圧縮 : Dynamic Table [HPACK]まとめ HTTP/2 特有の設定を libcurl から行うには? 優先度制御の現在
A surprisingly hard, and widely misunderstood, problem with SSL certificates is figuring out what organization (called a certificate authority, or CA) issued a certificate. This information is useful for several reasons: You've discovered an unauthorized certificate for your domain via Certificate Transparency logs and need to contact the certificate authority to get the certificate revoked. You'v
What's New In DevTools (Chrome 85) | Blog | Chrome for Developers
Style editing for CSS-in-JS frameworks The Styles pane now has better support for editing styles that were created with the CSS Object Model (CSSOM) APIs. Many CSS-in-JS frameworks and libraries use the CSSOM APIs under the hood to construct styles. You can also edit styles added in JavaScript using Constructable Stylesheets now. Constructable Stylesheets are a new way to create and distribute reu
Japan Security Analyst Conference 2020開催レポート~前編~ - JPCERT/CC Eyes
JPCERT/CCは、2020年1月17日に御茶ノ水ソラシティカンファレンスセンターにて Japan Security Analyst Conference 2020 (JSAC2020)を開催しました。本カンファレンスは、日々セキュリティインシデントに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー攻撃に対抗するための技術情報を共有することを目的に開催しています。今回は3回目の開催となり、301名の方々にご参加いただきました。 本カンファレンスでは、講演募集(CFP)に応募いただいた22件の中から8件を採択し、講演いただきました。講演資料はJSACのWebサイトで公開しています。JPCERT/CC Eyesではカンファレンスの様子を2回に分けて紹介します。 オープニングトーク ~2019年のインシデントを振り返る~ 講演者: JPCERT/CC インシデントレスポンスグ
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
最終更新日:2021/10/02 注意: このページが翻訳された後、英語バージョンのページがアップデートされています。 (2024/05/07) 英語で表示する ルート証明書 私たちのルートは安全にオフラインで保管されています。 私たちは次のセクションにある中間CAからサブスクライバに対してエンドエンティティ証明書を発行します。 新しいルートX2を様々なルートプログラムに送信する際に互換性を得るため、私たちはルートX1からクロス署名しました。 有効 ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1) 自己署名: der, pem, txt DST Root CA X3のクロス署名: der, pem, txt 有効、利用制限あり ISRG Root X2 (ECDSA P-384,
What's New in DevTools (Chrome 117) | Blog | Chrome for Developers
Network panel improvements Override web content locally even faster The local overrides feature is now streamlined, so you can easily mock response headers and web content of remote resources from the Network panel without access to them. To override web content, open the Network panel, right-click a request, and select Override content. If you have local overrides set up but disabled, DevTools en
Let’s Encrypt: an automated certificate authority to encrypt the entire web | the morning paper
the morning paper a random walk through Computer Science research, by Adrian Colyer Made delightfully fast by strattic Let’s encrypt: an automated certificate authority to encrypt the entire web, Aas et al., CCS’19 This paper tells the story of Let’s Encrypt, from it’s early beginnings in 2012/13 all the way to becoming the world’s largest HTTPS Certificate Authority (CA) today – accounting for mo
Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service —
TL;DR: we have discovered XMPP (Jabber) instant messaging protocol encrypted TLS connection wiretapping (Man-in-the-Middle attack) of jabber.ru (aka xmpp.ru) service’s servers on Hetzner and Linode hosting providers in Germany. The attacker has issued several new TLS certificates using Let’s Encrypt service which were used to hijack encrypted STARTTLS connections on port 5222 using transparent MiT
What's New In DevTools (Chrome 81) | Blog | Chrome for Developers
Moto G4 support in Device Mode After enabling the Device Toolbar you can now simulate the dimensions of a Moto G4 viewport from the Device list. Click Show Device Frame to show the Moto G4 hardware around the viewport. Related features: Open the Command Menu and run the Capture screenshot command to take a screenshot of the viewport that includes the Moto G4 hardware (after enabling Show Device Fr
What's New In DevTools (Chrome 92) | Blog | Chrome for Developers
CSS grid editor A highly requested feature. You can now preview and author CSS Grid with the new CSS Grid editor! When an HTML element on your page has display: grid or display: inline-grid applied to it, you can see an icon appear next to it in the Styles pane. Click the icon to toggle the CSS grid editor. Here you can preview the potential changes with the on screen icons (e.g. justify-content:
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
安全な証明書自動更新のやり方 - Cybozu Inside Out | サイボウズエンジニアのブログ
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
Googleが開発した「改ざん不可能なログシステム」を構築できる「Trillian」とは?
サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行 | スラド セキュリティ
CSRF, CORS, and HTTP Security headers Demystified
Let's Encrypt - フリーな SSL/TLS 証明書
ドメインやサブドメインを調査する話(後編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
The SSL Certificate Issuer Field is a Lie
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
Chain of Trust - Let's Encrypt - フリーな SSL/TLS 証明書