You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はじめに 煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。 一応 GPKIとはなにか? - IT digitalforensic.jp の内容が理解できる程度にはわかっているつもりですが。 前提知識 誰がどんな立場にいるかわからんと全くわからんと思うので CA/Policy Participants - MozillaWiki 問題 アプリケーション認証局2(Sub) | 政府認証基盤(GPKI)のホームページ にもあるように、 https://www.gpki.go.jp/selfcert/finger_print.html にアクセスしようとすると のようにルート証明書が信用できんといわれるんですね。 それで、ルート証明書を信用してくれるように mozilla.dev.security.policy › Japan GPKI Root Renewal Request (
Webサイトの暗号化(SSL化、HTTPS対応)はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2&SSL化の実装例も紹介していく。 これまで証明書の無償入手は限定的 HTTPSのWebサイトを運用するには通常、商用の認証局にSSLサーバー証明書の発行を申し込み、必ず費用が発生するものだった。一部限定した目的では無償で利用でき
粘着剤を使って壁に貼る付箋は、すぐに落ちてしまったり、デコボコのある場所にはそもそも貼れなかったりします。そんな、50年間あまり進化してこなかった従来型付箋紙を大きく進化させたのが「Magnetic」で、静電気の力で貼り付けるため場所を選ばない画期的な製品とのことなので、実際に使ってみました。 MAGNETIC: Paper That Sticks to Walls by Tesla Amazing — Kickstarter https://www.kickstarter.com/projects/teslaamazing/magnetic-paper-that-sticks-to-walls Tesla Amazing! https://teslaamazing.com/ Magneticはさまざまなサイズや種類があるのですが、今回は「magnetic NOTES」のS・M・Lサイズ、
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します — Yusuke OSUMI (@ozuma5119) 2015, 6月 30 Zaimの件、そもそも家計簿アプリごとき(と敢えて言う)に、銀行やクレカのログインパスワードを入れちゃう人があんなにたくさんいることの方がよっぽど問題だと思う https://t.co/pidZhtUbej pic.twitter.com/jpNw41MqK0 — Yusuke OSUMI (@ozuma5119) 2015, 6月 28 Zaimの「金融機関の連携」機能、新生銀行にいたっては暗証番号までナチュラルに入れさせようとしてくるので、控えめに言ってこのアプリは頭がおかしいと思う https://t.co/50guysHXIV pic.twitter.com/BQnIaUnfGo — Yusuke OSUMI (@ozuma5119
個人情報の漏洩につながるような2000種類以上のデータトラッキング用のコードをブロックし、ついでに一部広告やSNSボタンもウェブページ上から非表示にしてしまうことでページの表示を最大27%も高速化してしまうブラウザの拡張機能が「Disconnect」です。開発者は元Googleのエンジニアで、オンライン上での個人情報をユーザー側でしっかりとコントロールできるようにするために開発したツールとのことなので、どんなふうに動作するのか実際に使ってみました。 Disconnect | Online Privacy & Security https://disconnect.me/ ◆PC向けの拡張機能を使ってみた 「Disconnect」はGoogle Chrome・Firefox・Safari・Opera向けに拡張機能をリリースしており、以下のページにアクセスして「Get Disconnect」を
Twitterが新機能として、最大20人まで招待して非公開のグループが作成できる「グループダイレクトメッセージ」と「最長30秒の動画ツイート」を公開しました。DMはフォロワーのみ招待でき、リンクの貼り付けにも対応。動画の投稿については、スマートフォンのTwitterアプリから直接カメラを起動して撮影可能で、簡単な編集にも対応しています。 Twitterの新機能:グループダイレクトメッセージと動画の投稿 | Twitter Blogs https://blog.twitter.com/ja/2015/0127video Twitterグループダイレクトメッセージ | About https://about.twitter.com/ja/directmessages Videos on Twitter | About https://about.twitter.com/ja/videos-on
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
やっと、ベンダー側での全ての対応が完了したということが確認できたので、事の顛末を公開できる状況になったのですが、文京区の図書館システムは、個人情報が漏洩しかねない脆弱性を抱えていました。 自分の中での整理も含めて、どんな状況だったのかまとめておきたいと思います。 #自分には、Web アプリとか Web システムを作った経験はありませんが、見つけた時には「これは、ひでぇ…」と思いましたよ。 一体、どんな問題であったのか? 問題があったのは、文京区立図書館システムで使用されている ELCIELO という図書館業務のパッケージシステム。 2010 年 4 月にプロポーザル形式での業者選定で京セラ丸善システムインテグレーションに決まって、システム自体の稼働は 2011 年 1 月初めから。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたの
URL が https:// から始まる SSL ページを閲覧すると、希にこんなエラーが表示されてしまう場合や、ブラウザのアドレス バーに鍵マークが表示されない場合があります。 ブラウザ別の警告メッセージ一覧: IE: このページには、安全な HTTPS 接続を使用しないで配信されるコンテンツが含まれており、Wen ページ全体のセキュリティを損なうおそれがあります。 Opera: への接続は保護されていないため、重要な情報を送受信しないでください。サーバーはセキュリティ保護を適用しようとしましたが失敗しました。 Firefox: この Web サイトとの通信は一部しか暗号化されておらず、第三者に盗み見られないようにはなっていません。 これは、警告メッセージからも分かるとおり、SSLページなのにページ内に「非SSLコンテンツ (http://)」が混在していること(逆のパターンもある)が原因
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く