BEAST攻撃はクライアント側対策で解決するのか
SSLサーバー設定のテスト目的で使っている人も多いと思う Qualus Security Labsの記事 https://community.qualys.com/blogs/securitylabs/2013/09/10/is-beast-still-a-threat で、SSL CheckerからBEAST脆弱性の判定(TLS1.0以下でCBCモードを使っている)を外す、というのが有ったのでメモ。 BEASTは成功すると数分から数十秒程度でクライアントのセッションが解読されるため、非常に危険なものと考えられている(orた)。 TLSv1.0以前ののCBCモードでは、セッションを再利用してリクエストを送る際、最後に送信された暗号ブロックが、次のHTTPリクエストの最初のブロックのIVとして使われている。攻撃者が送信済みの最後の暗号ブロックを傍受した後で、リクエストの先頭ブロックにあたる平
BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?|デジ・ステーション|J-Net21[中小企業ビジネス支援サイト]
日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマ、「BEAST攻撃」は、Webでのセキュアな通信を支える暗号化通信の基盤技術であるSSL/TLSの脆弱性を利用して、通信の盗聴とアカウントの乗っ取りを実現してしまう高度な攻撃方法。インターネットの商業利用の信頼性を揺るがす危険性を秘めており、全世界が緊張を高めた攻撃手法です! 1.SSL/TLSの脆弱性を突く「BEAST」とは? 「BEAST」とは「Browser Exploit Against SSL/TLS」の略で、Juliano Rizzo氏とThai Duon
![BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?|デジ・ステーション|J-Net21[中小企業ビジネス支援サイト]](https://cdn-ak-scissors.b.st-hatena.com/image/square/110551cbd47125c10974b2d85bc79258eb4ff635/height=288;version=1;width=512/http%3A%2F%2Fj-net21.smrj.go.jp%2Fassets%2Fimages%2Fogp.jpg)
SSL/TLSでBEASTを恐れてRC4を優先するのは危ない - Tetsu=TaLowの雑記(はてブロ版)
前職のお仕事で電子政府推奨暗号リストの改定作業を行う暗号技術検討会の事務局をやってたのですが、それ関係の話。3/1付けで電子政府推奨暗号リストあらためCRYPTREC暗号リストが公表されたのですが… 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)に対する意見募集の結果 今回の改定では、電子政府で広く使われているがすでに危殆化が始まっているものを「運用監視暗号リスト」にするということが行われたのですが、今回その扱いにされた暗号のうち代表的なものがストリーム暗号RC4です。この件、もう少し大きな話題になってもいいと思うのですが… 残った国産暗号はCamelliaとKCipher-2 他は消えたのではなく推奨候補暗号リストになった 今回のハイライトの一つはRC4の運用監視暗号リスト行きだと思うのだけど昨日のシンポジウムでは意外と話題にならなかったな / “1…”
ApacheのSSLCipherSuiteにRC4を設定すべきではない - Qiita
Apacheに限らないが、暗号化方式としてRC4暗号が最優先に設定されていることがままある。 これは必ずしもいいとは言えない・・・ので、その理由をまとめてみた。 そもそもRC4がよく設定されているのには理由がある。 過去BEASTという攻撃方法が発見されCBC暗号(Cipher Block Chaining:一定の長さごとに暗号化を行う方式)は全部危ない!?という感じになった。そこで登場したのがストリーム暗号の代表格RC4であり、これに設定すればOK、という流れが今にも至っているのだ。 BEAST攻撃について ただ当時とは状況が変わり、RC4を設定するのが最適とは言えなくなってきた。 理由1 RC4は非推奨となった まず有権者に訴えたいのは、現在RC4は脆弱性が発見され、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」にて推奨されない運用監視暗号の対象に
Cacoo、Backlogなど世界中で使われるサービスを次々と生み出すエンジニア集団「ヌーラボ」の全貌 | Hitch Blog
縣 俊貴 株式会社ヌーラボ取締役。プロジェクト管理ツール「Backlog」、ドローツール「Cacoo」など、コラボレーション型のWebサービスの企画と製品開発を行う。福岡在住。著作に「良いコードを書く技術(技術評論社)」 染田貴志 未踏ソフトウェア、起業を経験した後、株式会社ヌーラボに参加。プロジェクト管理ツール「Backlog」、ドローツール「Cacoo」の開発、インフラ運用を経て、現在はテクニカルエバンジェリストとしてヌーラボの魅力を伝える活動を行う。京都在住。JAWS-UG 京都支部長としてのコミュニティ活動の傍ら、Web+DB Press ( 技術評論社 ) でAWS 特集記事 ( Vol.62 ) や@IT にて「DevOps時代の開発者ための構成管理入門」などの執筆も行う。 ■「Cacoo」も「Backlog」も、自分たちが本当に欲しいものを作ろうと思って作った Web上で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
