TLS 1.0無効化における障害は? | スラド セキュリティ
ペイメント業界におけるセキュリティー基準の開発などを行うPCI SSCでは、データセキュリティー基準PCI DSS v3.1でTLS 1.0の使用を非推奨としている。しかし、TLS 1.0をすべて無効化するにはさまざまな問題があることがredditで話題になっている(redditの該当スレッド)。 TLS 1.1/1.2の使用に問題のあるソフトウェアとしては、Windows 7/2008 R2のリモートデスクトップ、SharePoint 2010/2013、Microsoft SQL Server 2012/2014(更新プログラムの適用で解決)、.Net 4.0以前のアプリケーション(.Net 4.5以降でソースコード修正及び再コンパイルが必要)、RHEL5/CentOS5が挙げられている。また、TLS 1.1以降に対応するソフトウェアであっても、RC4暗号を使うFTPSサーバーのように
e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される | スラド セキュリティ
昨年、還付金に目が眩んで e-Tax に登録してしまったのだが、つい先程のこと e-Tax を名乗るメールが届き申告のお知らせがあるので http://www.e-tax.nta.go.jp/ へ行ってメッセージボックス一覧表示を確認するようにと案内があった。 そこで早速、e-Tax のページへ飛び、指示のあったメッセージボックス表示 とやらを確認に行ったのだが、なんと SSL 証明書が sec_error_untrusted_issuer と警告されてしまい面食らっているところである。 よりにもよって国税庁のe-Tax関連サイトで独自書名というのは有り得ないにも程がある上、ガンブラーの亜種が猛威をふるっていると伝え聞く現状では、遂に国税庁までもが陥落してしまったのか?と疑いたくなってしまう。 まさか、本当に陥落してしまった訳ではないとは思うのだが、国税庁の一体何を考えているのか頭を抱える
Webブラウザの閲覧履歴や閲覧中のサイトのソースコードを盗む新手法 | スラド セキュリティ
これまで、多くのセキュリティ研究者たちがJavaScriptやIFRAMEの抱える弱点と問題点について警告を行ってきた。今回、英国の研究者Paul Stone氏が新たに発見した問題はこれまで以上に深刻な内容であるようだ。発見されたのはJavaScriptを利用して、指定したURLを過去に訪れているかどうかや、そのWebブラウザで閲覧してるサイトのソースコードを読み取ることができる技術だという(threatpost、本家/.)。 攻撃者はユーザーがログインしている任意のWebページ上のソースコードへのアクセスを取得でき、ユーザーIDや個人情報などすべての種類の機密情報を取得できる。Paul Stone氏によれば、この問題を防ぐための簡単な修正手段は今のところないという。 threatpostの記事によると、Stone氏が発見した問題点は2つあり、1つは「すでに訪問したURLへのハイパーリンク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
