攻撃を受ける前に見直すApacheの基本的なセキュリティ10のポイント
こんにちは、ITエンジニアのKomuraです。 ウェブサーバーにApache HTTPDを採用している環境、まだまだ多いですよね。このApache HTTPDですが、インストールはRPM等のパッケージからコマンド一発で完了しますので、導入の敷居は低くなっています。ただ、インストールして簡単に動作してしまうことから本来、インストール後に必要なセキュリティ設定がなおざりになっているウェブサーバーを良く見受けます。 セキュリティホールやウェブサイトへの攻撃を考えると、Apache HTTPDの基本的なセキュリティ設定は必須になっています。今回の記事では、Apache HTTPDを利用したウェブサーバー環境をもう一度見直して、基本的なセキュリティ設定を確認する手順について説明します。 本内容は、監査法人などが実施するセキュリティ脆弱性チェックの対策としても有効な情報ですので、セキュリティチェックを
DROWN攻撃による脆弱性の対策を
DROWNとは 脆弱性”DROWN“とは、”Decrypting RSA using Obsolete and Weakened Encryption(旧式暗号および弱い暗号を利用しているRSA暗号の解読)“の略です。端的に言い換えれば、ウェブサイトやメールサーバ、VPNサーバなどへのTLS接続が大規模な攻撃を受けるということです。 SSLv2は1995年に初めてリリースされ、その後すぐに提供終了とされましたが、33%のHTTPSサーバ、証明書によって信頼された22%のブラウザがいまだこの攻撃の影響を受けることが明らかになりました。ある単独実験では、1998年リリースのOpenSSLも影響を受けるそうです。中間者攻撃が行える場合、攻撃者はパッチの当てられていないバージョンのOpenSSLを利用しているサーバに対してシングルCPUで1分もかからずに、暗号化テキストを解読できます。これは現代の
本当は怖いAES-GCMの話 - ぼちぼち日記
Disclaimer 本エントリーは、この夏 blackhat usa 2016で行われる予定の講演「NONCE-DISRESPECTING ADVERSARIES: PRACTICAL FORGERY ATTACKS ON GCM IN TLS」 のネタバレを含んでいます。現地で直接聞く方は読まないよう気をつけて下さい。 0. 短いまとめ 今回は短めにと思ったのですが、やっぱりそれなりの分量でした。なので短いまとめを書いておきます。 4千万以上のサイト対してAES-GCM使ったTLS通信の初期ベクトル(IV)データのサーベイが行われ、7万程のサイトでIVの値が再利用される可能性があることがわかりました。IVが再利用された場合、AES-GCMの安全性は致命的な影響を受けます。IVの再利用が判明した幾つか実装から既に脆弱性のアナウンスが出ています。 IVが再利用された場合、現実的にHTTPS
パンドラの箱?TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記
1. 初参加のセキュリティキャンプ 先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。ありがとうございました。 講義では、学生の方々が短い時間ながら難しい演習に真面目に取り組んでくれました。質疑なども皆受け答えがしっかりしていて、技術的にもレベルが高い回答も多く、非常に驚きました。これだけ優秀な10代、20代の若者が、全国各地から毎年50人も集まるのを実際に見ると、彼らの将来が楽しみです。これまで10年以上継続してこのような活動を続けきた成果でしょう。私自身、とても良い経験をさせていただき
HTTP/2から見えるTLS事情 - あどけない話
これは HTTP/2 アドベントカレンダー19日目の記事です。 この記事はたくさんの資料を読んだ上で書きましたが、間違いとか勘違いとかがあるかもしれません。もしあれば、指摘していただけると幸いです。 実質的に必須となったTLS HTTP/2は、HTTP/1.1と同じく、暗号化なし/ありのポートとして、80と443を使います。そのため、通信開始時にHTTP/1.1とHTTP/2をネゴシエーションするための仕組みが、HTTP/2で定められています。 このように仕様としては暗号化なしのHTTP/2が定義されていますが、Firefox や Chrome が TLS を要求するために、実質的は暗号化ありが必須となっています。これは、米国の監視プログラムPRISMに代表される広域監視(pervasive surveillance)に対抗するために、IETFがさまざまな通信にプライバシの強化を要求する方
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLS暗号設定ガイドライン(PDF)
TLS 1.3 -> TLS 2.0 by davegarrett · Pull Request #612 · tlswg/tls13-spec