by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
CDNが単一障害点にならないようにするために ヌーラボでは 2010 年 Cacoo の商用サービスの開始に合わせて AWS における運用を開始しました。当時、運用環境として AWS を採択する決め手の一つになったのが CloudFront でした。その後も着々とエッジロケーションは増え、独自ドメインのサポートなど魅力的な機能も提供され、今ではヌーラボの全サービスの静的ファイルの配信で利用している、無くてはならないサービスとなっています。 その魅力の反面、CloudFront の障害は、アプリケーションそのものに問題がなくても、以下のような表示が崩れた画面が表示されて、ユーザが全くサービスを使えなくなるという、その影響が非常に大きいものです。また障害の原因が DNS やネットワークの経路における問題といった、私たちが直接解決しにくい領域にあることもしばしばです。 ただ、どんな事情であれ、障
お客様各位 スターバックス コーヒー ジャパン 株式会社 弊社ホームページにおけるセキュリティ強化に関する重要なお知らせ 平素より弊社をご愛顧賜り、厚く御礼申し上げます。 このたび、弊社では、お客様の情報保護を第一に考え、通信の安全性を確保するために、弊社ホームページにおける「TLS1.0/1.1」を無効化することといたしました。 これにより、一部の端末やブラウザ(インターネット閲覧ソフト)からは、サイトの閲覧およびサービスの利用ができなくなりますのでご確認ください。 ■影響がある主なご利用環境 ・スマートフォン iOS4以前、およびAndroid 4.4以前の端末における標準ブラウザ環境 ・パソコン Internet Explorer 10.0 以前のブラウザ環境 ■対象ページ 弊社公式ホームページ内の、「https」で始まるアドレスのWebページ(My Starbucksマイページ、ス
China is now blocking all encrypted HTTPS traffic that uses TLS 1.3 and ESNI
How the top VPNs compare: Plus, should you try a free VPN? We tested the best VPN services -- focusing on the number of servers, ability to unlock streaming services, and more -- to determine a No. 1 overall. Plus, we tell you whether free VPNs are worth trying. Read now The Chinese government has deployed an update to its national censorship tool, known as the Great Firewall (GFW), to block encry
【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル
Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ
国勢調査オンラインはトップページを http: で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり - いろいろやってみるにっき
<20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> 【追記 2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。 EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。 スクリーンショットは【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なん
ご来店ありがとうございます。 本日より、『プロフェッショナルSSL/TLS』(2017年3月発行)からスピンオフしたミニブック『OpenSSLクックブック』の提供を開始しました。購入ページからカートに追加していただくことで、どなたでも無償でダウンロードが可能です(クレジットカード情報は不要ですが、直販サイトの購入フローを経由する関係で、お名前の欄と住所の欄への入力はお願いいたします)。 同書は『プロフェッショナルSSL/TLS』の原書である‟Bulletproof SSL and TLS”からOpenSSLに関する章を抜き出して再編された‟OpenSSL Cookbook”の翻訳に相当し、『プロフェッショナルSSL/TLS』の「第11章 OpenSSL」と「第12章 OpenSSLによるテスト」加え、SSL Labsで公開されている ‟SSL/TLS Deployment Best Pra
【注意】艦これなど、DMM のゲームのアプリTokenがフリーWifiなどで簡単に盗聴・ハイジャックされる件 - Windows 2000 Blog
今回の不正ログインについて ・全艦娘を解体or轟沈 ・装備も殆ど廃棄 ・資源やアイテムも使えるだけ使い切る(25万以上⇒ほぼ空に) ・一言コメント欄が「こみけでみえてたぜ」 ・初期家具をセット これだけのことをやる悪質なユーザーがいるようですので要注意です。 #艦これ #拡散希望 2017/8/16 11:15:03 艦これ起動時のパケットキャプチャ。 テキスト平文で トークンが見える 「なんで Windows 2000で 艦これや、Wireshark 2.2.8が動くねん!」ってのはこのブログのお約束なのでスルーで ・ω・ ええ…ここのブログ主は、 2017年もまだ Windows 2000で戦ってるのです (具体的には WannaCry 対策したり、 Firefox 52 を動かしたり、Flash Player 最新版のインストーラーを作ったり、オラクルのバグで本来適用できない Jav
クラウド型高速レンタルサーバー【スターサーバー】
スターサーバーでは、WordPressの処理速度がキャッシュなしで最大8倍(※1)もの高速化となる「PHP高速化設定」機能をご利用いただけます。(※2) 運営中のWebサイトがこれまで以上に高速になるとともに、大量アクセスへの耐性がより強化されます。
Web API開発をするなら、ドキュメントは自動生成にしておこう!(PHPerKaigi2021) 皆さんの開発現場はAPIドキュメントの自動生成化がお済みでしょうか? このLTではCakePHP4にSwaggerを導入して、コードのアノテーションからドキュメントを自動生成するまでの流れをご紹介いたします。 ▼こんな方におすすめ ・これからWeb API開発を始める方 ・ドキュメント書くの面倒な方 ・実装とドキュメントの乖離に苦労したことがある方 昨年、社内で実施した勉強会のテーマの中で一番メンバーの反応が良かったのが「アノテーションからのドキュメント自動生成」でした。ドキュメント作成の手間を少しでも減らして、開発体験を向上させていきましょう! (LTではCakePHPをサンプルコードとして紹介いたしますが、Laravelに導入する手順も別途資料をご用意させていただく予定です。) http
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
CentOS flow-toolsの設定
ホーム CentOS6 OTRSのインストール CentOS6 VNC Serverのインストール CentOS6 iperfでスループット計測 CentOS6 IPv6アドレスの設定および無効化 CentOS6 IPv6のスタティックルートの追加 CentOS6 スタティックルートの追加 CentOS6 2TB以上のHDを使う カーネル起動の視覚化 カーネル起動オプション CentOS6 Quota CentOS6 Mondorescue CentOS6 NTP CentOS6 Kdump CentOS6 NIC Bonding CentOS6 SNMP Trap Manager CentOS6 ext4ファイルシステム CentOS6 yum CentOS6 リソース管理 CentOS6 iptablesによるパケットフィルタ CentOS6 Tripwire CentOS6 chkr
GMOペパボ株式会社
インターネットで可能性をつなげる、ひろげる 私たちは、ひとりひとりが持つ力や可能性をひろげるために、インターネットと表現の可能性を追求しながらサービスを運営していくこと、 そして新しいものを生み出していくことでいろんな人たちがインターネットで可能性を開花し、活躍できるための環境を創造していきます。 企業情報
前のエントリで書いたように、b-casは用途を広げた時に前提条件が変わってしまったために、小さな「あってはならないこと」が起きただけで、手当ての方法が無くなってしまいました。 では、これと同じような見方で、インターネットそのものに「あってはならないこと」が起きた時どうなるか、について書いてみたいと思います。「インターネットそのもの」と言っても、一般の人が目にする「インターネット」の中でセキュリティをしっかり守らなければいけないのは、オンラインショッピングの時に使われる「SSL」という通信方式です。 アドレスが「https://」で始まるサイトにアクセスすると、そのアドレスの横に鍵の形の「安心マーク」が表示されます。オンラインショッピングで決済の画面やクレジットカード番号を入れる画面では必ずそうなっていると思いますが、これが今「SSL」を使っているよ、「SSL」がうまく動いているよというお知
Apple kicked off its weeklong Worldwide Developers Conference (WWDC 2024) event today with the customary keynote at 1 p.m. ET/10 a.m. PT. The presentation focused on the company’s software offerings…
Let’s Encrypt は無料でサーバー証明書を発行してくれる認証局です。2016 年のサービス開始以来、 急速に普及しています。 Let’s Encrypt の証明書発行には ACME プロトコルに対応したクライアントソフトウェアを使います。主要な ACME クライアントソフトウェアは ACME Client Implementations で紹介されています。Let’s Encrypt のサイトでは certbot というツールが推奨されているのですが、 このツールは Windows には対応していません。Windows 環境では win-acme (旧名 letsencrypt-win-simple) というツールが良く使われているようです。 私も、 これまで win-acme を使ってきたのですが、 先日、 ふとしたことで mod_md という Apache モジュールの存在を
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
Go言語と暗号技術(AESからTLS)
最近マスタリングTCP/IP SSL/TLS編や暗号技術入門を読んでいた.理解を深めるためにGo言語で標準のcryptoパッケージを触り/実装を読みながら読んだ. cryptoパッケージは他の標準パッケージと同様に素晴らしい.Go言語にはどのような暗号化手法が実装されているのか実例を含めてざっとまとめる.なお本文に書ききれなかったものを含め全ての実装例はtcnksm/go-cryptoにある. 共通鍵暗号 まずは共通鍵暗号をみる.共通鍵暗号は暗号化と復号化に同じ鍵を用いる暗号化方式である.共通鍵暗号はブロック暗号とストリーム暗号の2種類に分けることができる.ブロック暗号は特定の長さ単位で暗号化を行う方式であり,ストリーム暗号はデータの流れを順次処理していく方式である. Go言語にはブロック暗号としてDES(Data Encryption Standard),DESを繰り返すtriple-D
■ SoftBankガラケーの致命的な脆弱性がようやく解消 ソフトバンクモバイルのガラケーWebブラウザで、https:接続する際の仕様に変更があった。昨年10月に予告が発表され、元々は2月に実施される予定だったのが、6月30日に延期されていたもの。これまで、https:サイトへのリンクのすべてが https://secure.softbank.ne.jp/ 経由に書き換えられる仕様だったが、この機能が廃止された。 ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起, ITmedia, 2011年6月30日 Yahoo! ケータイ、2011年2月に仕様変更 ユーザーとサイト開発者に注意喚起, ITmedia, 2010年10月15日 MOBILE CREATION - WEB & NETWORK SSL/TLS, ソフトバンクモバイル これは、昨年6月に、ソフトバンクモバイル宮川CTOに
はじめに 背景 世間一般の公開鍵暗号関連の解説書・サイトは99%あてになりませんが、一例として、とある情処対策の解説動画の添削を行います。 ※twitterで問題点を説明する機会があったので、折角なら記事として共有できる形にしようという動機からです。 対象 対象の動画は https://www.youtube.com/watch?v=rgK4FGENzMo で、2021/3/1時点の内容を元にしています。 ※後日修正される可能性もあるため。 なお、先に断っておくと、この動画が特別酷いわけではなくて、大体どれもどんぐりの背比べです。如何にみんな真面目に情報を検証していないか、ということが実感できます。 動画のスライドの添削 スライド1: ディジタル署名(~0:48) 第1段落「公開鍵暗号方式を使って」 ディジタル署名とは、公開鍵暗号方式を使ってデジタル文書の正当性を保証する技術です この表現
セキュリティ関連コンサルティング|ペイペイに換金できるゲーム|Cybernetic Survival Network
本サイトの目的は、「SOHOと個人が、ITを駆使して強く生き抜くことを援護する」ことにある。 本サイトへのリンクは自由。 Cybernetic Survival Network Windows XP/2000/Me/98 Mac OS 9/X対応 フリーソフトでデータを確実に 抹消・リカバリー! 大全 NORbert (本サイト管理人) 著 株式会社ソシム刊 本サイトのデータ抹消・復元ネタを発展させた本が出版されました。 この本のサポートサイトはこちらです 本書とWebサイトの内容で食い違っている点があれば、本の方が正しいです(徐々に、Webサイトの記事も追いつくようにするつもりですが)。執筆中にわかった情報も盛り込まれており、さらにWebサイトにはあまり書かれていない「まっとうなデータリカバリー」つまり読めないディスクや起動しないPCからのファイル退避、などの方法にも多くのページを割い
Intro 先日 #http2study で mozilla の Richard Barnes が Let's Encrypt について話してくれました。 資料: Let's Encrypt Overview この資料の翻訳 はしたのですが、いらなくなってしまったので供養もかねてこのプロジェクトのモチベーションと、 Web でおこっている HTTPS 推進のたどる道について、資料を補足しつつ紹介します。 結論から言うと Let's Encrypt はもちろん ACME プロトコル についても是非知っておくと良いと思います。 HTTPS の問題 すでにこのブログでも紹介しているように、 Web における HTTPS の重要性は増し、それの普及を後押しする活動が各所で進められています。 HTTPS 化する Web をどう考えるか よく言われる盗聴防止を始め、暗号化を行うことで防げる問題は多くあ
Google App EngineでマネージドSSLが全ユーザーに無料提供、HTTPSの導入が簡単に。証明書の更新もGoogleにおまかせで心配無用
Google App EngineでマネージドSSLが全ユーザーに無料提供、HTTPSの導入が簡単に。証明書の更新もGoogleにおまかせで心配無用 GoogleはWorld Wide WebにおけるHTTPSの利用を積極的に推進しています。 検索エンジンとしてのGoogleがWebサイトにHTTPSの利用を推奨していることはよく知られていますが、同社はそれをクラウドサービスでも推し進めようとしています。 Googleは、Google App EngineでマネージドなSSLを無料で提供すると発表しました。 HTTPSを利用するにはSSL証明書が必要となります。Google App Engineが提供するマネージドSSLでは、ユーザーによるSSL証明書の購入や更新といった手間は不要になり、手間も費用もすべてGoogleが提供してくれます。 We’ve made using HTTPS si
本日は Google Gears 関連のもうひとつのネタを書こうと思ったのですが、間に合わなかったので最近仕事で使った Apache のリバースプロキシ機能の設定方法などをご紹介します。リバースプロキシは、特定のディレクトリ以下へのリクエストを他の Web サーバーに中継する機能です。 LAN 内の複数のマシンで稼動している Web サイトをひとつのグローバル IP で公開したり、 Apache 以外の Web サーバー(Rails でよく使われる mongrel とか)を Apache の Web サイトに統合したりとかが簡単にできます。 Web サイトを柔軟に構築するために、覚えておくと便利ですよ。 前提条件 Apache のリバースプロキシ機能を利用するためには、 mod_proxy を組み込んだ Apache が必要です。通常の Linux ディストリビューションなどではデフォルト
SORACOMの凄さは第三者が「SIM」を自由に発行・運用できることーーIoT向けモバイル通信PF、ソラコムが提供開始 - BRIDGE(ブリッジ)テクノロジー&スタートアップ情報
久しぶりに話を聞いて鳥肌が立った、そんなプロダクトが今日、お目見えする。 IoT向けのモバイルデータ通信プラットフォームを提供するソラコムは9月30日、同社プラットフォーム上で提供されるSORACOM AirとSORACOM Beamのサービス開始を発表した。同社はMVNO(仮想移動体通信事業者)としてNTTドコモと契約(L2卸契約)し、同キャリアの基地局を利用したモバイル通信サービスを提供する。 SORACOM Airは従来のMVNO事業者が多額の投資で運用を開始してきたコアネットワーク(パケット交換、回線管理、帯域制御)とサポートシステム(顧客管理や課金)を独自に開発、Amazon Web Services (以下、AWS)のクラウド上に実装したのが特徴。 これによって、大幅な初期コストの軽減によるサービスインの実現と、このプラットフォーム自体を第三者に解放することで、各事業者による
インターネット上での買い物や財産管理、電子メールの送受信などにおけるプライバシーを守ってくれるはずのセキュリティ・ソフトに関する重大なバグ、「Heartbleed」が最近発見された。今のところ、このバグによる実際のファイナンス情報やアカウント情報その他に関する傍受や盗難に繋がるような被害は報告されていないが、恐らくそれは時間の問題だ。 良いニュースは、こうした傍受や盗難から自分の情報を保護する方法があるということ。悪いニュースは、それらの対策は単純だが必ずしも簡単ではないということだ。 なぜ Heartbleed は深刻なのかまず簡単に背景を説明しよう。ハッカーなどの攻撃者が Heartbleed バグを悪用した場合、サイト上のウェブ・コミュニケーションを保護してくれるはずの、OpenSSLと呼ばれるオープンソースの暗号化セキュリティ技術を迂回できてしまう。このバグによって攻撃者はウェブサ
「IE6の利用はやめて」、内閣官房が各省庁に移行を推奨
内閣官房情報セキュリティセンター(NISC)は2010年6月17日、各府省庁に対して、Internet Explorer 6(IE6)からInternet Explorer 8(IE8)への移行を推奨したことを明らかにした。 IE6は、2001年8月にリリースされたWebブラウザー。最近では、セキュリティや互換性の問題が頻発。例えば2010年1月には、IE6だけを狙った攻撃が確認されている。このためマイクロソフトなどでは、IE6のユーザーに対して、最新版IE8への移行を推奨(図)。グーグルなどのWebサービス提供者は、IE6への対応を順次打ち切っている。 しかしながらNISCによれば、中央省庁の中には、バージョンアップすることなくIE6を使い続けているところがあるという。組織内のシステム(Webアプリケーション)を、IE6用に構築しているためだ。IE8に移行するとなると、既存システムがIE
FacebookからOAuthを停止されてわかった今時のセキュリティ - Uzabase for Engineers
NewsPicksの高山です。 この記事はUzabase Advent Calendar 2021の23日目の記事です。昨日は我らが赤澤剛さんによるAWS Organizationの記事でした。 去る2021年10月12日に突然NewsPicksのサービスでFacebookログインやFacebookへの投稿ができなくなりました。この状態は12月13日まで2ヶ月もの間継続していて、ユーザーさんには不便を強いてしまいました。 米Facebook本社とメールでやりとりしていましたが、メール返信に何週間も待たされ、Facebook日本法人に助けてもらってようやく解決に至ることができました。 この苦労話はいくらでもできるのですが、今回はセキュリティの切り口で書いていきます。 Facebookの「データ保護評価」 データセキュリティ項目 「すべてのプラットフォームデータストレージ(すべてのデータベース
AWSではてなブログの常時HTTPS配信をバーンとやる話 / The Epic of migration from HTTP to HTTPS on Hatena Blog with AWS
Hatena Engineer Seminar #10 (https://hatena.connpass.com/event/87909/) で発表した資料です。
Site will be available soon. Thank you for your patience!
はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ソーシャルゲームにおけるレイドボスなどへのダメージ操作、ECサイトアプリでの購入操作なども可能になってしまいます。 また、最近自分は「無料で音楽聴き放題!! - ネットラジオ」というアプリをリリースしたのですが、このアプリに導入するスタティックリンクライブラリが不明な外部サーバーへ通信していないか、SSLを使用しているつもりがそうでない通信をしてしまっていないかのチェックをするため、自分はmitmproxyという
Spaces is a revolutionary project folder concept designed to boost seamless digital collaboration for remote teams of all sizes, while ensuring compliance, data control and security. Spaces delivers an optimized user experience and significantly reduces admin workload. Web Office provides a suite of powerful integrations: OnlyOffice, Microsoft 365, Collabora Online and Microsoft Office Online. Th
「Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる」の続き。 色々動きがあって猶予もできて助かった形だけど、来年9月29日以降の対応をどうするか考えないといけない状況なのは当然変わっていません。先にまとめると以下。 何もせずとも来年の1月11日までは猶予が伸びた 証明書を発行する側の場合、各クライアントで --preferred-chain "DST Root CA X3" のようにオプション設定することで、来年の9/29まで先延ばしが可能 独自ドメインに対して自動でSSL証明書を発行してくれるサービスを利用している場合はサービスが声明を出していないか調べ、出してない場合は問い合わせると良いでしょう 前回以降の動き go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました デフォルトRoot証
Holy procrastination, startup founders! Tomorrow’s your last chance to apply to the Startup Battlefield 200 at TechCrunch Disrupt 2024. Your last chance for a shot to stand on the Disrupt…
meta name="referrer"は、HTTPS→HTTPでもリファラを出す新しい仕様 | 初代編集長ブログ―安田英久
今日は、ちょっと技術的な話を。「meta referrer」という、リンクをクリックしてページ移動するときなどにリファラをどう送るかを、ページ側で指定できるタグの実装が進んでいるのです。 グーグルはHTTPSを推奨するけれども、リファラが……グーグルは、サイトがHTTPSかどうかを順位決定の要因とするなど、HTTPSを推奨しています。 でも、自分のサイトをHTTPSにすると、自分のサイトから非HTTPS(ふつうのHTTP)のサイトへのリンクをクリックしたときに、リファラが飛ばないんですよね。 これは、RFC 2616で、「セキュア接続のページから、非セキュア接続のページに移動するときは、リファラを送出するべきではない」と定められているからです(セクション15.1.3)。 とはいえ、Web担のようなメディアでは、「Web担のページから、うちのサイトにけっこう来る人いるんですよ」という反応も大
Connect with people across your organization to make better decisions, faster. Discover all the work that happens between the big announcements and the success story. Connect your org's front-runners or top-level leaders back at headquarters to see everyone's progress come together. Join meaningful discussions to move your work along faster. Get quick answers to your questions, and have productive
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 2018年7月はWeb業界にとって記憶に残る日になるでしょう。httpsが標準となった日として。 これまでWebサイトへのアクセスにはhttpを利用するのが通常で、安全性が求められる場合にはhttpsを利用すると考えられてきましたが、これからはhttpsを使うのが当たり前になっていくでしょう。この流れを強力にけん引しているのは、保守的な我が国においてもトップシェアブラウザとなったChromeを擁するGoogleであることはご存知の通りです。これまではhttpでのアクセスには特に表記はなく、httpsでアクセスすると「保
Welcome back to TechCrunch’s Week in Review. This week had two major events from OpenAI and Google. OpenAI’s spring update event saw the reveal of its new model, GPT-4o, which…
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
実践!ヌーラボサービスでの CloudFront の障害対策 | 株式会社ヌーラボ(Nulab inc.)
弊社ホームページにおけるセキュリティ強化に関する重要なお知らせ|スターバックス コーヒー ジャパン
『OpenSSLクックブック』提供開始のお知らせ
Javascript で暗号化
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
なぜb-casは失敗してインターネットはうまくいくのか? - アンカテ
TechCrunch | Startup and Technology News
ApacheでのLet's Encrypt運用が簡単になりました
TechCrunch | Startup and Technology News
さくらインターネット、年額1500円で利用できるドメイン認証SSL「ラピッドSSL」
SoftBankガラケーの致命的な脆弱性がようやく解消 - 高木浩光@自宅の日記
公開鍵暗号関連のテキストの間違いの典型例 - Qiita
Let's Encrypt を支える ACME プロトコル - Block Rockin’ Codes
Apache のリバースプロキシの設定方法 - WebOS Goodies
ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 | readwrite.jp
Site is undergoing maintenance
iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita
ownCloud - share files and folders, easy and secure
Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々
TechCrunch | Startup and Technology News
Viva Engage: Work Smarter, Work Together
Let’s EncryptとACME | IIJ Engineers Blog
TechCrunch | Startup and Technology News