Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
OpenSSL でオレオレ証明書を手っ取り早く作成する方法 - WebOS Goodies
先日、とある理由で SSL の動作テストのためのオレオレ証明書が必要になったので、作り方を調べてみました。基本的にインフラ部分は他人におまかせなことが多いので、これまでやったことなかったんですよね (^^ゞ で、ググったりして調べたのですが、たいてい OpenSSL の設定を書き換えが必要で、少し面倒な手順ばかり。単なる動作テスト用で正式な証明書である必要はないので、環境の書き換えは最小限で済ませたくないところです。何回か試して、環境を変更せずに証明書を生成することができたので、手順をまとめておきます。 デフォルト設定等を確認する 証明書の作成をはじめるまえに、念のため以下の手順が使えるかどうか確認する方法を書いておきます。たいてい大丈夫だと思うんですけどね。少なくとも Mac OS X Lion と Ubuntu 11.04 はデフォルトで以下の設定になっていました。 確認するファイルは
Linux(CentOS)の独自CA局でサーバ証明書・クライアント証明書を作る : 草食系ネットワークエンジニアのブログ 〜自己投資のための読書〜
ネットワークエンジニアを自称していながらエンジニアらしいことはほとんど書いていなかったのですが今日は技術ネタです。 Linuxで独自CA局を立て、いわゆるオレオレ証明書を作ってみたので手順化しました。 【作ったもの】 ・認証局(CA秘密鍵、ルート証明書) ・クライアント証明書 ・サーバ証明書 手順書レベルなので初めての人でもこの通りやればできると思います。 ■作業環境 CentOS6.0 ■opensslのインストール opensslはインストールされている前提で手順省略 ■拡張子のネーミングルール ググると.pem、.crt、.keyなどいろんな拡張子が出てくるが基本的に何でもよい。 この手順では以下のルールで作成する。 ・CA秘密鍵 cakey.pem ・ルート証明書 cacert.pem ・秘密鍵 xxx.key ・各種証明書 xxx.cer → .cerとするとはWindows上
Ruby スクリプトでデータを暗号化する方法 - WebOS Goodies
本日は、 Ruby の OpenSSL バインドを利用してデータを暗号化する方法をご紹介します。というのも最近、自宅サーバーにある各種データを Web 上のサービスに移動しようと画策していまして、その際にプライベートなデータは暗号化して保存したいのです。ほとんどの Web API は暗号化なしの HTTP で通信しますし、いくらパスワードで保護されているとはいえ、他所の HDD にプレーンな状態で保存するのは不安ですからね。 それ以外でもスクリプトで暗号化の処理をしたい場面はいろいろあると思います。そんなときは、ぜひ参考にしてください。 それでは、まずは暗号化の処理から。 OpenSSL はさまざまな暗号化アルゴリズムをサポートしていますが、ここではリファレンスでも推奨されている AES-256-CBC を使うことにします。ひとつの文字列(バイト列)を暗号化する関数は以下のようになります。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
