並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 445件

新着順 人気順

PKIの検索結果1 - 40 件 / 445件

  • 何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)

    普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」

      何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)
    • ローカル開発環境の https 化 | blog.jxck.io

      Intro Web の https 化が進み、それに伴って https を前提とする API も増えてきた。 そうした API を用いた開発をローカルで行う場合、 localhost という特別なホストを用いることもできるが、それだけでは間に合わないケースも少なからずある。 localhost を https にするという方法もあるが、そのように紹介されている方法には、いくつか注意すべき点もある。 この辺りの話を、直近 1 ヶ月で 3 回くらいしたので、筆者が普段使っている方法や注意点についてまとめる。 特に推奨するつもりはない。 Update chrome の --host-rules について追記 localhost での開発の注意点 例として https://example.com にデプロイする予定の ServiceWorker を用いたアプリがあったとする。 開発をローカルで行う

        ローカル開発環境の https 化 | blog.jxck.io
      • 図解 X.509 証明書 - Qiita

        はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと

          図解 X.509 証明書 - Qiita
        • オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列

          あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる) 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも

            オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列
          • セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog

            画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ

              セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
            • Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記

              0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し

                Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
              • Google Chrome EV表示の終焉 - ぼちぼち日記

                1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく

                  Google Chrome EV表示の終焉 - ぼちぼち日記
                • WebRTC を今から学ぶ人に向けて

                  この資料には宣伝が含まれます ライセンス Creative Commons — 表示 - 非営利 - 改変禁止 4.0 国際 — CC BY-NC-ND 4.0 内容 これから WebRTC を学ぶ人が何を学ぶべきで、何は学ばないべきなのかを書く。定期的に更新していく。 趣味で学びたい人はターゲットに入っていません、仕事で利用する場合のみがターゲット。 まとめ 急がば回れで、W3C の資料を理解できるまで読み込む。 下手にフレームワークに依存したりして簡単な仕組みを覚えてしまうと後からツライ。 Media Capture and Streams WebRTC 1.0: Real-Time Communication Between Browsers Identifiers for WebRTC's Statistics API 作って学ぶも良いが、まずは出てくる単語などの意味を理解できるの

                    WebRTC を今から学ぶ人に向けて
                  • XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

                    2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

                      XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
                    • RSAの終わりの始まり - 暗号移行再び - Qiita

                      前振り 全国の暗号を使うエンジニアの皆さんこんにちは。今日は暗号移行とRSA暗号の話をしたいと思います。まず暗号を利用している皆さんであればCRYPTRECの「電子政府推奨暗号リスト」のことはご存じですよね!(言い切るw) CRYPTRECから2022年7月(昨年夏)に暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準(PDF直リンク)が公開されました。この中では暗号のセキュリティ強度で各種暗号と鍵長が整理されています。セキュリティ強度はビットセキュリティと呼ばれるビットサイズ(共通鍵暗号の場合のビット長)で区分されます。暗号アルゴリズムが違ってもセキュリティ強度で比較ができるということですね。例えば現在一般的に良く使われているセキュリティ強度は112ビットセキュリティが多く、これにはデジタル署名であればRSA暗号の2048ビットやECDSAのP-224等が含まれます。今日は公開鍵暗

                        RSAの終わりの始まり - 暗号移行再び - Qiita
                      • 何がデジタル化を阻むのか?IT業界が「紙とハンコ」から学ぶべきこと|楠 正憲(デジタル庁統括官)

                        僕は紙の書類が大の苦手だ。あれはそもそも毎日のように同じ机に出勤している人たちにしか向いていない。わたしのように毎日違う机に出勤し、あちこち飛び回っていると本当に不便だ。今日も休日というのに、理事をやってる業界団体やら講演先から送られてきた書類に署名・捺印してポストに投函しなきゃならない。電子メールで用事は終えたのに署名捺印された書類が必要らしい。送られてきたExcelを印刷して捺印したのを写メで送ったり、電子データで構わないのでといわれて印影作成サイトなんかを紹介された日には、自分が何のために何をやっているか本当に分からなくなる。働き方改革といって在宅勤務やら副業を推奨するのであれば、まずは紙の書類を一掃すべきだと常日頃から感じている。 9年ほど前にIT戦略本部で何とかハンコをなくせないものかと画策したことがある。きっかけはNYに出張している最中に規制改革の委員会の委嘱状がきたことだ。翌

                          何がデジタル化を阻むのか?IT業界が「紙とハンコ」から学ぶべきこと|楠 正憲(デジタル庁統括官)
                        • Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

                          これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef

                            Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
                          • Appleは本当にあなたが実行するアプリをログに記録しているのか?

                            Jacopo Jannoneのブログより。 Appleが発表したmacOS Big Surがリリースした直後にサーバの問題が発生し、ユーザが自分のコンピュータでサードパーティ製のアプリを実行できなくなってしまいました。Twitter上の人たちはすぐに回避策を見つけましたが、他の人たちはその問題に関連してプライバシーの懸念を表明しています。 Jeff Johnson @lapcatsoftware Appleユーザの皆さん、 もし、あなたがMacでアプリの起動がハングアップしているなら、私はLittle Snitchを使って問題を特定しました。 それは、http://ocsp.apple.comに接続しているtrustdです。 OCSPはソフト障害なので、接続を拒否すると修正されます。 (インターネットの切断も修正) OCSPとは? OCSPは、Online Certificate Stat

                            • OAuth 2.0 クライアント認証 - Qiita

                              はじめに この記事では、OAuth 2.0 の『クライアント認証』について説明します。 RFC 6749 に記述されているクライアント認証方式のほか、クライアントアサーションやクライアント証明書を用いるクライアント認証方式についても説明します。 1. クライアント認証方式 1.1. トークンエンドポイント 認可サーバーがあります。 認可サーバーからアクセストークンの発行を受けたいクライアントアプリケーションがあります。 アクセストークンは、幾つかの例外を除き、認可サーバーのトークンエンドポイントから発行されます。そのため、認可サーバーはトークンエンドポイントを用意します。 クライアントアプリケーションは、アクセストークンの発行を受けるために、トークンエンドポイントにトークンリクエストを投げます。 認可サーバーは、トークンレスポンスを返します。この応答の中に、アクセストークンが含まれます。

                                OAuth 2.0 クライアント認証 - Qiita
                              • ヤフオク「中古スマホ出品時、マイナ証明書失効を」初期化だけでは消えない

                                5月11日から、マイナンバーカードの電子証明書機能をAndroid端末に搭載できるようになった。これを受け、ヤフーが運営するオークションサイト「ヤフオク!」は、中古スマートフォン出品の際、事前にスマホ用電子証明書の失効手続きを行うよう案内している。 スマホ用電子証明書は、端末の初期化だけでは削除できず、マイナポータルアプリから失効申請を行う必要がある。マイナカードの電子証明書機能を使っていたスマホを出品する際には、必ずこの手続きを行うよう呼び掛けている。 関連記事 マイナカードをAndroidスマホに入れてみた 何が便利で何ができる? iPhone対応は? 5月11日に、マイナンバーカードのスマホ用電子証明書搭載サービス、いわゆる「カード機能のスマホ搭載」がスタートした。「マイナカードがスマホに入る」なんて言われているが、何ができて何ができないのか。実際にスマホにマイナカードを搭載してみた

                                  ヤフオク「中古スマホ出品時、マイナ証明書失効を」初期化だけでは消えない
                                • マイナンバーカードによるPDFへの電子署名がどのように動作するのかを実験してみた【イニシャルB】

                                    マイナンバーカードによるPDFへの電子署名がどのように動作するのかを実験してみた【イニシャルB】
                                  • GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで - エンジニアHub|Webエンジニアのキャリアを考える!

                                    GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで GitHubが公式に提供するGitHub Actionsは、後発ながらよく使われるワークフローエンジンとなっています。本記事では、藤吾郎(gfx)さんが、典型的なCI/CDのユースケースに即したワークフローの設定と管理について解説するとともに、注目されているGitHub OIDC(OpenID Connect)の利用についても紹介します。 GitHub Actionsは、GitHubが提供するCI/CDのためのワークフローエンジンです。ワークフローエンジンは、ビルド、テスト、デプロイといったCI/CD関連のワークフローを実行し、定期実行するワークフローを管理するなど、開発におけるソフトウェア実行の自動化を担います。 ▶ GitHub Actions - アイデアからリリースまでのワーク

                                      GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで - エンジニアHub|Webエンジニアのキャリアを考える!
                                    • 「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

                                      このビデオについて このビデオは、2021 年 10 月 6 日に開催された 「挫折しない OAuth / OpenID Connect 入門」の理解を深める会 のプレゼンテーション録画です。 2021 年 9 月 18 日発売の「Software Design 2021 年 10 月号」では、OAuth/OIDC が特集され、「挫折しない OAuth/OpenID Connect 入門・API を守る認証・認可フローのしくみ」と題し、Authlete 代表の川崎貴彦が寄稿しました。 本プレゼンテーションでは記事のポイントや、理解を深めるために重要なポイントについて、著者の川崎がお話しします。 文字起こし はじめに 目次 記事の第1章、第2章、第3章は、こういう目次になっています。 ここからピックアップして、 こんなことを話してます、というところを、 紹介したいと思います。 自己紹介 Au

                                        「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete
                                      • 「ゼロトラストネットワーク」を読んだので要約する - Qiita

                                        目的 少しずつ実際のソリューションが登場しつつあるゼロトラストネットワークについて、その成り立ちや設計思想、セキュリティの構成や実運用の課題について解説された「ゼロトラストネットワーク」の要約をしてみます。 特に、組織のネットワーク構築や運用を担当する情報システム部門の担当であれば、今後のネットワークの在り方を考える上で指針になる一冊だと思います。 https://www.oreilly.co.jp/books/9784873118888/ ゼロトラストネットワークの成り立ちと概要 1967年まで遡り、主に軍事・学術目的で通信するために、各ノードがパケットを交換しあうARPANETというネットワーク設計が考案されました。今のインターネットの前身です。 設立した当初はネットワーク上のノードの身元がほとんど判別できる状態だったので情報の漏えいや改ざんを気にする必要がなかったのですが、ネットワー

                                          「ゼロトラストネットワーク」を読んだので要約する - Qiita
                                        • 書籍「サーバ/インフラエンジニアの基本がこれ1冊でしっかり身につく本」発売!

                                          わたしが執筆した サーバ/インフラエンジニアの基本がこれ1冊でしっかり身につく本 が2021-04-14に発売されます!! 物理本:2021-04-14発売 Kindle:2021-04-09発売 PDF/EPUB:2021-04-09発売 →Gihyo Digital Publishing ※電子版が先行発売。時代ですねぇ 今回は表紙がとてもポップで、いままでの著書にはない雰囲気。これはこれでとてもいいカンジ。 つかいかた Webエンジニアの初期研修の1冊にピッタリだと思います。 ぜひお手にとってください! 今回の サーバ/インフラエンジニアの基本がこれ1冊でしっかり身につく本 はインフラエンジニアの卵のためのファーストステップ本です。 広く浅くいろいろなトピックを摘めるようにしています。 本書を専門分野への足がかりにしてください。 Webエンジニアがインフラのことも知っていきたい!とい

                                          • 総務省提訴のお知らせ|Bot Express

                                            2020年9月10日、株式会社Bot ExpressはLINEを用いた住民票申請の是非を問うため、総務省(国)を提訴しました。 争点争点は、当社が提供するLINEで住民票申請機能における本人確認実装が適法であるかどうかです。本サービスは簡単に言えば下記のとおりです。 ・住民はLINEで住民票を申請する。 ・本人確認書類および本人の複数の顔写真を照合して本人確認をおこなう。 ・LINE Payで手数料を決済する。 ・郵送で住民票が住民票記載の住所に届く。 本サービスは2020年4月1日から、渋谷区で導入されています。総務省は2020年4月3日に、高市総務大臣がこのサービスについて改善を求めると言及したほか、地方自治体宛てに「このサービスは適法でない」という旨の文書を交付しています。また、その後、複数の地方自治体から総務省にこのサービスの是非を確認する問い合わせがあり、総務省は一貫してNGだと

                                              総務省提訴のお知らせ|Bot Express
                                            • IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita

                                              はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式

                                                IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
                                              • [初心者向け]200以上あるAWSサービスのどこから始めれば良いのかガイド | DevelopersIO

                                                AWS認定トレーニング講師の平野@おんせん県おおいたです。 みんな、温泉入ってますかー? (挨拶 さて先日こんなご質問をいただきました 「AWSは200サービス、「今から学ぼう!」て人は、多さが障壁になると思うので、この辺はどういったアドバイスありますか?」 確かにそうですよね。多くの人も同じように感じてるはず! ということで、このブログを書くことにしました。 これからAWSを始める人のお役に立てればと思います。 AWSのカルチャー 最初は機能やサービスではなく、AWSの考え方を理解することから始めてください。 ここをおさえておくと、各サービスの理解がスムーズになります。 オススメはAWSチーフエバンジェリスト亀田さんの登壇ビデオです。 3点ほどピックアップしましたので、参考にしてください。 ベストプラクティクス: Well-Architected フレームワーク サービスではありませんが

                                                  [初心者向け]200以上あるAWSサービスのどこから始めれば良いのかガイド | DevelopersIO
                                                • ゼロトラストネットワーク

                                                  ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型のセキュリティ(境界防御モデル)が通用しなくなった現状を踏まえ、すべてのトラフィックを信頼しないことを前提とし、検証することで脅威を防ぐというアプローチです。近年、クラウドサービスやモバイルの普及により、セキュリティで守るべき内外の境界があいまいになってきたことにより、強く注目を集めています。本書は、ゼロトラストネットワークの概念と実装するために必要な知識が学べる解説書です。基本的な概念の説明に始まり、デバイス、ユーザー、アプリケーション、トラフィックの信頼を実際にどのように確立していくかについて、詳しく紐解いていきます。また、Googleのゼロトラストモデル「BeyondCorp」を含む2つの詳細なケーススタディも収録しており、実装に役立つ知識を深めることができます。 はじめに 1章 ゼロトラストの基礎 1.1 ゼロ

                                                    ゼロトラストネットワーク
                                                  • Re: Web3というテロリズム - Software Transactional Memo

                                                    えふしんさんに何の恨みも無いのだけれど わからないことを偉そうに書いて怒られて進化したいという芸風なので書いてみました。 Web3というテロリズム|えふしん #note https://t.co/84SoYtIzDC — えふしん (@fshin2000) 2022年2月17日 というのだから技術的に正確なツッコミを入れて欲しいという事だと信じて書く。まさか後釣り宣言など来ないだろう。 Web3という言葉は、既存の権力構造に対する宣戦布告と考えれば、割と素直に受け入れられる。 ここは本当にその通りで「下剋上」の雰囲気感だけで業界が振り回されているのは見るに耐えない。権力構造を敵対視するあまり、本当に味方に付けるべきエンドユーザーの事がなおざりになっているとすら感じている。市場経済で世の中が動く中、エンドユーザーは確かな利益が無ければ動かないし、利益無しで人やお金を動かさせたら詐欺である。こ

                                                      Re: Web3というテロリズム - Software Transactional Memo
                                                    • HTTPSは安全なのか? - Qiita

                                                      いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え

                                                        HTTPSは安全なのか? - Qiita
                                                      • GMO、印鑑を廃止へ IT担当大臣(はんこ議連会長)の「しょせんは民間の話」コメント受け社長が即断

                                                        GMOインターネットグループは4月17日、顧客の手続きにおいて印鑑を完全に廃止し、契約は電子契約のみのペーパーレスとする方針を決定したと発表しました。新型コロナウイルスの感染拡大で在宅勤務が広がる中、同社グループを含む多くの企業で捺印のために出社して状況を受けたものだとしています。 根強いはんこ文化(イメージ) 「はんこ文化」が在宅勤務の妨げになっているという指摘がある中、竹本直一IT政策担当大臣は最近、「民間で話し合ってもらうしかない」「しょせんは民・民の話だ」などとコメント。竹本氏はIT政策担当大臣である一方、「日本の印章制度・文化を守る議員連盟」(はんこ議連)の会長であることで知られており、人ごとのようなコメントには多くの批判が集まっていました(朝日新聞の4月14日付記事)。 GMOインターネットグループの熊谷正寿グループ代表(GMOインターネット会長兼社長)は15日、竹本IT相のコ

                                                          GMO、印鑑を廃止へ IT担当大臣(はんこ議連会長)の「しょせんは民間の話」コメント受け社長が即断
                                                        • ゼロトラストアーキテクチャ 適用方針

                                                          ゼロトラストアーキテクチャ 適用方針 2022 年(令和 4 年)6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-210 〔キーワード〕 ゼロトラスト、ゼロトラストアーキテクチャ、 〔概要〕 政府情報システムのシステム方式について、より堅牢なシステム構築の観 点からゼロトラストアーキテクチャの適用方針を示す。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 初版決定 i 目次 1 はじめに ......................................................... 1 1.1 背景と目的 .................................................. 1 1.2 適用対象 .................................................... 1

                                                          • 崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない

                                                            個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。 だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。 米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。

                                                              崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない
                                                            • 自分の行っているセキュリティ関連の情報収集 - ドキュメントを見たほうが早い

                                                              聞いてるポッドキャストでセキュリティ情報収集どうしているのかといった話題があった*1ので、いい機会だから自分の行っているセキュリティ関連の情報収集をまとめてみた。 前提 どんな人 セキュリティに興味あるWebアプリケーションエンジニア*2 興味の範囲 Webアプリケーションにまつわるセキュリティ全般 サービス開発・運用まわりに関するセキュリティ 知りたい情報 関係ありそうな脆弱性情報 興味範囲の最近の話題やトレンド その他セキュリティ関係で話題になっていそうなこと 話題やトレンドはキーワードを拾い後から調べられるように脳にインデックスを作っておくのが目的で、網羅や詳細に知ることはあまり意識していない。 情報ソース 前提に書いた知りたい情報を、各種サイト・ブログ、Twitter、Podcast から収集している。 Twitter は脆弱性情報などスピードが重要なものからトレンドまで幅広く知れ

                                                                自分の行っているセキュリティ関連の情報収集 - ドキュメントを見たほうが早い
                                                              • Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々

                                                                「Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる」の続き。 色々動きがあって猶予もできて助かった形だけど、来年9月29日以降の対応をどうするか考えないといけない状況なのは当然変わっていません。先にまとめると以下。 何もせずとも来年の1月11日までは猶予が伸びた 証明書を発行する側の場合、各クライアントで --preferred-chain "DST Root CA X3" のようにオプション設定することで、来年の9/29まで先延ばしが可能 独自ドメインに対して自動でSSL証明書を発行してくれるサービスを利用している場合はサービスが声明を出していないか調べ、出してない場合は問い合わせると良いでしょう 前回以降の動き go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました デフォルトRoot証

                                                                  Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々
                                                                • AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)の学習方法 - NRIネットコムBlog

                                                                  小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 ソリュ

                                                                    AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)の学習方法 - NRIネットコムBlog
                                                                  • ZeroSSL ならIPアドレスのサーバ証明書が取得できる - ASnoKaze blog

                                                                    IPアドレスのサーバ証明書が欲しい場合があります。そうすれば、ドメインを取得せずともサーバとHTTPS通信ができるようになります。 その他にも例えばDNS over HTTPSではIPアドレスでアクセス出来るように、有効な証明書がセットされていたりします。 https://1.1.1.1 https://8.8.8.8 しかし、Let's Encryptでは、IPアドレスのサーバ証明書は取得できません ~$ sudo certbot certonly --nginx -d 160.16.124.39 Requested name 160.16.124.39 is an IP address. The Let's Encrypt certificateauthority will not issue certificates for a bare IP address.ZeroSSLでは出来

                                                                      ZeroSSL ならIPアドレスのサーバ証明書が取得できる - ASnoKaze blog
                                                                    • httpとhttpsの違い

                                                                      TLSの有無 言うまでもないことですが、httpsでは通信路をTLSを使って保護することが想定されています。[1][2] デフォルポート httpは80、httpsは443です。[3][4] 権威性 以降の説明に入る前に前提を確認します。本稿は「httpとhttpsの違い」と題されていますが、これはURLのスキーム部分のことを指しています。URLはリソースの所在を指すものであり、通信方法はそこから二次的に決まるものです。このことを前提に置きつつ権威性について説明します。 Webにおいて、所望のリソースにアクセスする方法はひとつではありません。このような方法のうち、リソースの所有者の制御下にある(第三者による加工などが行われていないと期待される)方法で取得することを権威的アクセスと呼びます。[5] どのようなアクセス方法が権威的とみなせるかについて100%客観的で統一的な指標があるわけではな

                                                                        httpとhttpsの違い
                                                                      • Apple によるブラウザエンジン規制の緩和 | blog.jxck.io

                                                                        Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が

                                                                          Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
                                                                        • タイムスタンプの再発見と「いわゆるブロックチェーン」

                                                                          (第三者)検証可能な形で情報の非改ざんを保証することブロックチェーン技術の登場により、「情報が改ざんされずに検証できる形で残る」という機能が注目を集めている。しかし、ブロックチェーン技術の文脈でこの機能との関係を考える時に、多くの議論において技術史を踏まえない曖昧な議論が散見され、これが様々な場面で無用なディベートを生み出しているように見られる。そこで、この機能についての歴史を紐解きながら、「いわゆるブロックチェーン」をどう理解したらいいのかを述べたい。 この節のタイトルのように、第三者検証可能な形で情報の非改ざんを保証すること、という要請はもちろん古くから存在する。その多くは、信頼される第三者機関が、ある時点で文書が存在したことを証明するというもので、日本では法務省が所轄する公証制度が存在する[1]。[1]では、公証制度のことを以下のように書いている。 公証制度とは,国民の私的な法律紛争

                                                                            タイムスタンプの再発見と「いわゆるブロックチェーン」
                                                                          • セキュアなWeb APIの作り方 / Secure Web API

                                                                            2023/09/06 に行われた OCHaCafe Season7 #4 で用いた資料です。 セッションアーカイブ動画:https://youtu.be/p3VmoPKrBNs

                                                                              セキュアなWeb APIの作り方 / Secure Web API
                                                                            • マイクロソフトのクラウドサービス「Microsoft Teams」がサーバ証明書を更新し忘れ。2時間のあいだユーザーからアクセスできなくなる障害発生

                                                                              マイクロソフトのクラウドサービス「Microsoft Teams」がサーバ証明書を更新し忘れ。2時間のあいだユーザーからアクセスできなくなる障害発生 マイクロソフトがチャットサービスとして提供する「Microsoft Teams」は、急速に人気を高めているSlackに対抗するべくマイクロソフトが力を入れているサービスのひとつです。 先月、1月9日には日本の民事訴訟手続きにおけるIT化を推進するため、Web会議やコラボレーション用ツールとしてMicrosoft Teamsが採用されたと発表されています。 そのMicrosoft Teamsが日本時間2月3日夜11時19分から翌2月4日午前1時19分の少なくとも2時間、ユーザーからアクセスできなくなるという障害を起こしていました。 マイクロソフトによると、その原因はサーバ証明書の更新し忘れによる期限切れであることが明らかになっています。 SSL

                                                                                マイクロソフトのクラウドサービス「Microsoft Teams」がサーバ証明書を更新し忘れ。2時間のあいだユーザーからアクセスできなくなる障害発生
                                                                              • If you’re not using SSH certificates you’re doing SSH wrong

                                                                                If you’re not using SSH certificates you’re doing SSH wrongUpdated on: June 8, 2023 SSH is ubiquitous. It's the de-facto solution for remote administration of *nix systems. But SSH has some pretty gnarly issues when it comes to usability, operability, and security. You're probably familiar with these issues: SSH user experience is terrible. SSH user on-boarding is slow and manual. Connecting to ne

                                                                                  If you’re not using SSH certificates you’re doing SSH wrong
                                                                                • TLS証明書チェッカーcheck-tls-certの公開

                                                                                  こんにちは、技術開発室の滝澤です。 TLS証明書チェッカーcheck-tls-certを開発して公開したので紹介します。 このcheck-tls-certについて簡単に説明すると次の通りです。 check-tls-certは、TLS証明書の有効性と証明書チェインの検証するツール 主な用途は、TLS証明書の設置・更新作業の際の各種確認およびTLS証明書の(有効期限を含む)有効性の監視 様々な検査を実施し、各検査結果を出力することで問題箇所を把握しやすい check-tls-certの概要 TLS証明書チェッカーcheck-tls-certはTLS証明書の有効性と証明書チェインを検証します。 主にTLS証明書の設置・更新作業の際の各種確認およびTLS証明書の(有効期限を含む)有効性の監視のために利用できます。 次のサイトで公開しており、ReleaseページからLinux向けとmacOS向けのバ