お前このサブネットでも同じ事言えんの? - 知らないけどきっとそう。
,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
Outbound Port 80 blocking のご提案
Outbound Port 80 blocking ⽵竹 <takesako@shibuya.pm.org> http://www.janog.gr.jp/meeting/janog31/program/OP80B.html [ ] � MacBook Air ⾏行行 � [ ] � ⾏行行 ⼈人 � [ ] � ⼊入 � [ ] � ⼈人 � [ ] � ⽤用 Google Wireshark ⾯面⼈人 Firesheep � 2010 10⽉月 �Firefox � �Eric Butler⽒氏 � LAN facebook Twitter ⽂文 HTTP Cookie � �PoC⽰示 Firesheep ⾯面 Eric Butler⽒氏⽤用 Firesheep � Web �Amazon.com CNET dropbox Evernote Facebook Flickr Gith
なぜあなたがウェブサイトをHTTPS化するとサイトが遅くなってユーザーが逃げていくのか - 射撃しつつ前転 改
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
昨年末のgmail乗っ取りの原因ってこれ?:Geekなぺーじ
昨年末に発生したgmail大量乗っ取り事件と、この事件→「Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置」って関係あるんですかね?(記事最後に追記あり。注意。) Googleセキュリティブログの記事はコレ→「Enhancing digital certificate security」ですね。 時期といい、この手法だったら防ぐの難しいよなぁというのと、凄くピッタリなんですけど。。。 この攻撃手法に関してはGoogleに落ち度がなく、逆にGoogleが気がついて遮断しているわけで、今回の発表を見ると凄いなぁと思えます。 2011年に発生したイランでの事件発覚もChromeによるものみたいですが、今回もChromeが検知して遮断という流れですね(参考:イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因)。 逆に言うと、この手の攻撃に
Qualys SSL Labs
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
GMOグローバルサイン、試験提供していたSSLチェックツールを正式公開
GMOグローバルサインは12月4日、SSLサーバー証明書の設定状況や信頼性を確認できる無料のWebサービス「SSLチェックツール」を正式に公開した。同ツールはこれまで試験的に公開されていた。 通常、SSLサーバー証明書の設定状況や信頼性などを確認するためには、そのつどWebブラウザを通じて情報を確認しなければならない。SSLチェックツールはその手間を省くためのもので、SSLサーバー証明書の発行元を問わず、フォームにSSLサーバー証明書のコモンネームを入力するだけでSSLサーバー証明書の設定状況や信頼性などを確認できる。 同ツールで確認できる主な項目は「SSLサーバ証明書のステータス」「証明書の設定状況」「SSLサーバ証明書の信頼性」「サーバの安全性」の4つで、結果表示画面ではこれらの項目の評価をあわせた総合得点も見ることができる。
今更聞けないSSL/HTTPS - Qiita
SSL/HTTPSの仕組みをざっくり理解しながら、 オレオレHTTPSの稼働まで。 0.そもそもSSLって何? 概要 SSLサーバー証明書とはウェブサイトの所有者の情報、送信情報の暗号化に必要な鍵、発行者の署名データを持った電子証明書です。 SSLサーバーには主に二つの役割があります。 証明書に表示されたドメインの所有者であることの証明 ブラウザとウェブサーバー間でのSSL暗号化通信の実現 一般的には、第三者サービスがWHOISと企業実在情報を照会して証明書を発行します。証明書を発行する人を認証局といいます。 よし、SSLサーバー証明書をつくればいいんだな。 オレオレSSLとは "俺自身が認証局になることだ…" 社会的信用はないSSLなので運用には注意してください。 その前に、暗号化ってなんですか? # encoding: utf-8 require 'OpenSSL' def encry
SSLサーバ証明書No.1のグローバルサインに訊く 「認証局としての歩み」と「不正アクセス疑惑への対応」 - はてなニュース
Webをブラウズしていると、アドレスバーの左端が緑色に輝くことがあります。SSLでセキュアな通信をしている印です。これを保証するのが、通信先サーバに置かれたSSLサーバ証明書。グローバルサインは、通常かなり手間のかかるSSLサーバ証明書の取得において、「クイック認証SSL」「スキップ申込サービス」「ワンクリックSSL」など利便性の高いサービスを提供し、日本国内のSSLサーバ証明書市場においてルート認証局別シェアでNo.1を獲得しました。グローバルサインが「1位」の座を獲得するまでの歩み、そして今後について、セキュリティコンサルタントの上野宣さんが訊きました。 ▽ SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社) (※この記事はGMOグローバルサイン株式会社によるPR記事です) SSLサーバ証明書とは SSLサーバ証明書は、「通信データの暗号化」と「通信相手の認証」とい
security:sslは暗号化のためのものではありません [TenForward]
<fs 150%><color red>@kfujieda さんによるもっと良い翻訳が登場しました.勉強になります.このページのものよりそちらをご参照ください.</color>→ SSL is not about encryption</fs> <color red>言い訳になりますが,もちろん藤枝さんのおっしゃるような「SSLの主目的は暗号化ではない」というのは理解しています.そこをあえて今回のようなタイトルに訳したのは私なりの考えがあってのことです.ただ,「翻訳」というものが期待されるものからすると不適当だったかも知れません.</color> <color red>自分が通信をしたい相手であることがきちんと確認が取れた相手と暗号化通信を行わないと意味がないと思いますが,「暗号化されてるからいいでしょ」というような事を今まで何度か聞いた事があり,それは違うだろうと思った事があります.この
グーグルのSSL検索――何が変わったのか、背後にあるグーグルの事情とは?(前編) | Moz - SEOとインバウンドマーケティングの実践情報
やあ、SEOmozファンのみんな。特別編の「ホワイトボード・デー」へようこそ。残念なことに、グーグルは「SSL検索」によって、検索結果からキーワード参照データを提供する方法を大きく変更してしまった。これにより、ホワイトハット的SEOを実施し、ウェブを分析し、提供されるデータから学ぼうとしている僕ら全員は、嬉しくない影響を受けることになりそうだ。 今回は、なぜこういうことが起きたのか、グーグルが何をしているのか、それについてグーグルがどう説明しているのかを解説してから、こんなことをしている本当の理由を探り、今後データが入手しにくくなる可能性がある状況で、ウェブ解析やSEOに携わる人々が取りうる行動について具体的な情報を提供しようと思っている。 SSL検索で何が変わったのか?それでは手始めに、今グーグルで検索をした場合に起こることを説明しよう。 たとえば、グーグルで「learn SEO」(SE
Webサイト常時SSL化のススメ - @IT
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
個人利用なら SSL 証明書が無料で利用できるらしい: ある SE のつぶやき
「体系的に学ぶ 安全なWebアプリケーションの作り方」を読んでいたら、とっても気になる記述が。 サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ドメイン認証証明書には無料のものがあります。イスラエルのStartComという企業は、無料のサーバー証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラーなく使用できます。IE6でもアップデートが当たっていれば使用できます。 日本の携帯電話には対応していないようです。しかし、今までラピッド SSL が年間2,100円で最強だと思っていたけど無料のものがあるとは。気になったので、ちょっと調べてみました。 以下の画面が StartCom のサイトです。画面の赤枠のリンクをクリックすると次の画面が表示されます。 そうすると、SSL 証明書の製品紹介
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130207/2.html
TechCrunch | Startup and Technology News
Google、「google.co.jp」の検索もログイン時はSSL暗号化をデフォルトに -INTERNET Watch
Admiral