タグ

securityに関するsyohexのブックマーク (5)

  • 不正なSSL証明書を見破るPublic Key Pinningを試す - ぼちぼち日記

    先日のエントリー 「TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説)」で予告した通り、今回不正なSSL証明書を見破る Public Key Pinningの機能について解説します。 Public Key Pinning は2種類の方法があります。あらかじめブラウザーのソースコードに公開鍵情報を埋め込む Pre-loaded public key pinning と、サーバからHTTPヘッダでブラウザに公開鍵情報を通知するHTTP-based public key pinning (HPKP)の2つです。 Chromeは既に両者の機能を実装済ですが、ちょうど近日リリースされる Firefox 32 の Stable バージョンから Pre-loaded public key pinning が実装されました。Firefox32リリース記念と

    不正なSSL証明書を見破るPublic Key Pinningを試す - ぼちぼち日記
  • iOS アプリにおけるデータセキュリティを考える | ギャップロ

    昨今のアプリはオンラインでの利用が当たり前であり、その中で多くのユーザ情報を扱っています。アプリの利便性やパフォーマンス向上のため、以下のようなことはよく行われているかと思います。 Web サービスに自動ログインするための ID やパスワードを保存する。 ユーザの個人情報を端末内にキャッシュする。 これらの情報は極めて慎重に取り扱う必要があるのは言うまでもありません。では iOS でこういったデータを安全に保管するにはどうしたらよいのか、施策とそこで利用できる機能について紹介したいと思います。 Keychain Services Keychain Services を使うと、パスワード等の重要な情報を OS 側に管理させることができます。登録した情報はアプリケーションフォルダの下に保存されるわけではないので、簡単にはアクセスすることはできないでしょう。 ただ iOS8.1 の時点では Ke

    iOS アプリにおけるデータセキュリティを考える | ギャップロ
  • RSA鍵、証明書のファイルフォーマットについて - Qiita

    RSAの公開鍵暗号技術を利用するためには、鍵や証明書のファイルを扱う必要があるため、そのファイルフォーマットについて理解しておく必要があります。 実際、いろんな拡張子が登場するので、それぞれの意味を理解していないとすぐにわけがわからなくなります。そんなときのために備忘録をまとめてみました。 ファイルの拡張子の注意点 .DERと .PEMという拡張子は鍵の中身じゃなくて、エンコーディングを表している デジタル暗号化鍵やデジタル証明書はバイナリデータなのですが、MD5のハッシュ値のような単なる 値 ではなく、データ構造をもっています。.DERや .PEMはそのデータ構造をどういうフォーマットでエンコードしているかを表しています。そのため、.DERや.PEMという拡張子からそのファイルが何を表しているのかはわかりません。暗号化鍵の場合もあるし、証明書の場合もあります。 .DER 鍵や証明書をAS

    RSA鍵、証明書のファイルフォーマットについて - Qiita
  • CVE-2015-7547 glibc における getaddrinfo の脆弱性について – IIJ Security Diary

    この脆弱性は2016年2月17日に対策済みバージョンと共に公開されました。内容としては getaddrinfo の呼び出しにおいてスタックバッファオーバーフローが発生する物です。公開時点で以下の通り、PoC を含めた技術的な詳細が公開されています。記事では、脆弱性が発生するまでの処理と、回避策について解説したいと思います。 CVE-2015-7547 — glibc getaddrinfo() stack-based buffer overflow Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow 脆弱性に至るまで 今回の脆弱性は getaddrinfo の呼び出しに起因しています。脆弱性のある箇所までの関数呼び出しは以下の様になっています。 getaddri

    CVE-2015-7547 glibc における getaddrinfo の脆弱性について – IIJ Security Diary
  • ntpdからみるcapability - とあるSIerの憂鬱

    CentOSではNTPデーモンがntpユーザ権限で動作している。root権限で動いていないということで『一応安全を意識してるんだな』ぐらいにしか思っていなかった。 しかし、システム時刻を変更というrootしかできない行為をntpユーザが行っていることの不思議に(今更)気がついたので調べてみた。 これはCapability(ケーパビリティ)と呼ばれる機能を使用して実現されている。 Capability は『強大すぎるroot権限』を30-40個程度のおおまかな小さな権限(それぞれをCAP0, CAP1, ..., CAPnとしておく)に分割し、プロセスごとに 『CAPx と CAPy のみ許可』 のような設定をできるようにする仕組みである。 26種類目のCAP (CAP25) が『CAP_SYS_TIME』(include/linux/capability.h で定義) であり、『システム時

    ntpdからみるcapability - とあるSIerの憂鬱
  • 1