,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
Outbound Port 80 blocking ⽵竹 <takesako@shibuya.pm.org> http://www.janog.gr.jp/meeting/janog31/program/OP80B.html [ ] � MacBook Air ⾏行行 � [ ] � ⾏行行 ⼈人 � [ ] � ⼊入 � [ ] � ⼈人 � [ ] � ⽤用 Google Wireshark ⾯面⼈人 Firesheep � 2010 10⽉月 �Firefox � �Eric Butler⽒氏 � LAN facebook Twitter ⽂文 HTTP Cookie � �PoC⽰示 Firesheep ⾯面 Eric Butler⽒氏⽤用 Firesheep � Web �Amazon.com CNET dropbox Evernote Facebook Flickr Gith
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
昨年末に発生したgmail大量乗っ取り事件と、この事件→「Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置」って関係あるんですかね?(記事最後に追記あり。注意。) Googleセキュリティブログの記事はコレ→「Enhancing digital certificate security」ですね。 時期といい、この手法だったら防ぐの難しいよなぁというのと、凄くピッタリなんですけど。。。 この攻撃手法に関してはGoogleに落ち度がなく、逆にGoogleが気がついて遮断しているわけで、今回の発表を見ると凄いなぁと思えます。 2011年に発生したイランでの事件発覚もChromeによるものみたいですが、今回もChromeが検知して遮断という流れですね(参考:イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因)。 逆に言うと、この手の攻撃に
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
GMOグローバルサインは12月4日、SSLサーバー証明書の設定状況や信頼性を確認できる無料のWebサービス「SSLチェックツール」を正式に公開した。同ツールはこれまで試験的に公開されていた。 通常、SSLサーバー証明書の設定状況や信頼性などを確認するためには、そのつどWebブラウザを通じて情報を確認しなければならない。SSLチェックツールはその手間を省くためのもので、SSLサーバー証明書の発行元を問わず、フォームにSSLサーバー証明書のコモンネームを入力するだけでSSLサーバー証明書の設定状況や信頼性などを確認できる。 同ツールで確認できる主な項目は「SSLサーバ証明書のステータス」「証明書の設定状況」「SSLサーバ証明書の信頼性」「サーバの安全性」の4つで、結果表示画面ではこれらの項目の評価をあわせた総合得点も見ることができる。
SSL/HTTPSの仕組みをざっくり理解しながら、 オレオレHTTPSの稼働まで。 0.そもそもSSLって何? 概要 SSLサーバー証明書とはウェブサイトの所有者の情報、送信情報の暗号化に必要な鍵、発行者の署名データを持った電子証明書です。 SSLサーバーには主に二つの役割があります。 証明書に表示されたドメインの所有者であることの証明 ブラウザとウェブサーバー間でのSSL暗号化通信の実現 一般的には、第三者サービスがWHOISと企業実在情報を照会して証明書を発行します。証明書を発行する人を認証局といいます。 よし、SSLサーバー証明書をつくればいいんだな。 オレオレSSLとは "俺自身が認証局になることだ…" 社会的信用はないSSLなので運用には注意してください。 その前に、暗号化ってなんですか? # encoding: utf-8 require 'OpenSSL' def encry
Webをブラウズしていると、アドレスバーの左端が緑色に輝くことがあります。SSLでセキュアな通信をしている印です。これを保証するのが、通信先サーバに置かれたSSLサーバ証明書。グローバルサインは、通常かなり手間のかかるSSLサーバ証明書の取得において、「クイック認証SSL」「スキップ申込サービス」「ワンクリックSSL」など利便性の高いサービスを提供し、日本国内のSSLサーバ証明書市場においてルート認証局別シェアでNo.1を獲得しました。グローバルサインが「1位」の座を獲得するまでの歩み、そして今後について、セキュリティコンサルタントの上野宣さんが訊きました。 ▽ SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社) (※この記事はGMOグローバルサイン株式会社によるPR記事です) SSLサーバ証明書とは SSLサーバ証明書は、「通信データの暗号化」と「通信相手の認証」とい
<fs 150%><color red>@kfujieda さんによるもっと良い翻訳が登場しました.勉強になります.このページのものよりそちらをご参照ください.</color>→ SSL is not about encryption</fs> <color red>言い訳になりますが,もちろん藤枝さんのおっしゃるような「SSLの主目的は暗号化ではない」というのは理解しています.そこをあえて今回のようなタイトルに訳したのは私なりの考えがあってのことです.ただ,「翻訳」というものが期待されるものからすると不適当だったかも知れません.</color> <color red>自分が通信をしたい相手であることがきちんと確認が取れた相手と暗号化通信を行わないと意味がないと思いますが,「暗号化されてるからいいでしょ」というような事を今まで何度か聞いた事があり,それは違うだろうと思った事があります.この
やあ、SEOmozファンのみんな。特別編の「ホワイトボード・デー」へようこそ。残念なことに、グーグルは「SSL検索」によって、検索結果からキーワード参照データを提供する方法を大きく変更してしまった。これにより、ホワイトハット的SEOを実施し、ウェブを分析し、提供されるデータから学ぼうとしている僕ら全員は、嬉しくない影響を受けることになりそうだ。 今回は、なぜこういうことが起きたのか、グーグルが何をしているのか、それについてグーグルがどう説明しているのかを解説してから、こんなことをしている本当の理由を探り、今後データが入手しにくくなる可能性がある状況で、ウェブ解析やSEOに携わる人々が取りうる行動について具体的な情報を提供しようと思っている。 SSL検索で何が変わったのか?それでは手始めに、今グーグルで検索をした場合に起こることを説明しよう。 たとえば、グーグルで「learn SEO」(SE
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
「体系的に学ぶ 安全なWebアプリケーションの作り方」を読んでいたら、とっても気になる記述が。 サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ドメイン認証証明書には無料のものがあります。イスラエルのStartComという企業は、無料のサーバー証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラーなく使用できます。IE6でもアップデートが当たっていれば使用できます。 日本の携帯電話には対応していないようです。しかし、今までラピッド SSL が年間2,100円で最強だと思っていたけど無料のものがあるとは。気になったので、ちょっと調べてみました。 以下の画面が StartCom のサイトです。画面の赤枠のリンクをクリックすると次の画面が表示されます。 そうすると、SSL 証明書の製品紹介
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く