JSON API for DNS over HTTPS (DoH) Stay organized with collections Save and categorize content based on your preferences. Previously, web-based applications required browser extensions to use advanced DNS features such as DANE, DNS-SD service discovery, or even to resolve anything other than IP addresses – like MX records. To use DNSSEC-dependent features like SSHFP records, any such extensions wou
'12/11/24: このブログの内容をもとに Amazon Kindle ストアで電子書籍を出版しました。 スマートフォンアプリ配信の輸出管理 作者: 村上卓弥出版社/メーカー: 村上 卓弥発売日: 2012/11/23メディア: Kindle版 クリック: 1回この商品を含むブログ (2件) を見る AppStore でアプリ配信をしようとして iTunes Connect にアプリをアップロードしようとすると、「暗号使ってるかい?」(Export Complianceのところ)という質問がされますよね?皆さん、あそこちゃんと答えてますか? ほとんどのサイトは No でいいよ、と書いてあります。が、これは間違い。アプリが暗号関連でなくても、アプリ内に暗号コードが入ってなくても、iOS の暗号を使っている場合はここは Yes と答えないといけません。 具体的には、HTTPS を使ってる場
インターネットのセッションに割り込まれてユーザー情報が盗聴される危険性が高まっていることから、米国ではHTTPS通信を前提にすべきという声が上がっているという。 Webサイトおよびページに“Always on SSL(常時SSL)”を――2月に米国で行われたセキュリティカンファレンスRSA Conference 2012のセッションで、インターネットサービス企業やセキュリティ企業、米国政府機関などが参加する「Online Trust Alliance」がこう提唱したという。 日本ベリサイン主催のメディア会合の場にゲストスピーカーとして登壇したSymantec トラストサービシズ プロダクトマーケティング担当のロブ・グリックマン氏、日本ベリサイン SSL製品本部の安達徹也氏が、「常時SSL」が提唱された背景や対応策などを解説した。 Online Trust Allianceは、主にWebやメ
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
今日は、企業サイトで意識するべき「正しい情報提供」の手法について。企業情報ページの連絡先情報やIRページなど、正しい情報を伝えるべきページは、httpsでアクセスできるようにしておきましょう。 セキュリティ専門家の高木浩光氏が、ブログで「なぜ一流企業はhttpsでの閲覧をさせないようにするのか」という記事を出しました。銀行など金融機関のサイトで、電話問い合わせ番号を掲載しているページがhttpsではアクセスできない場合があることを警告している記事です。 ・なぜ一流企業はhttpsでの閲覧をさせないようにするのか (高木浩光@自宅の日記) → http://takagi-hiromitsu.jp/diary/20100227.html#p01 元は携帯サイトの「かんたんログイン」の仕組みのセキュリティ上の問題点を述べる話題ですが、金融機関の問い合わせ先電話番号を掲載しているページがhttps
The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. 2009年11月に入ってからTLS/SSLに介入者攻撃を可能にする脆弱性(CVE-2009-3555)があるというニュースが伝えられた。 この脆弱性を利用されると介入者がプロトコルストリームのはじまりの段階で任意の量のプレインテキストを挿入することが可能になる。HTTPとの組み合わせで調査されているが、ほかのプロトコルとの組み合わせでも同様の問題が発生する可能性があり、しかもこの脆弱性は実装側では抜本的な対処が難しい。OpenSSLは同脆弱性の原因となる処理をそもそも無効にするバージョンをOpenSSL 0.9.8lとして公開している。 TLS/SSLに設計
研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
クライアントとサーバの間でWebを介してやりとりするデータの暗号化に使われるTLS/SSLプロトコルに脆弱性が発見され、この問題に対処したオープンソースツールキット「OpenSSL」の更新版がリリースされた。 SANS Internet Storm CenterやUS-CERTによると、TLS/SSLの再ネゴシエーションの過程に中間者攻撃の脆弱性が存在する。この問題を悪用された場合、攻撃者が通信に介入してテキストを仕込むことができてしまう可能性があるという。 この脆弱性を突いたエクスプロイトも公開されたが、US-CERTは11月6日の時点で、実際に脆弱性が悪用されたとの情報は入っていないとしている。 この問題に対処した更新版の「OpenSSL 0.9.8l」は、脆弱性を修正したわけではなく、脆弱性があったTLS/SSLの再ネゴシエーションを、単純にデフォルトのパッケージから削除したもののよ
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-08-10 09:04 Microsoftのセキュリティ研究者が、暗号の仕組みを壊すことなくHTTPSのエンド・ツー・エンドの安全性の保証を破る方法を発見した。 今年まとめられた研究プロジェクトの中で、Microsoft Researchの研究チームが、HTTP/HTTPSの上位にある表示モジュールを標的にすることで、悪意のある中間者によって悪用することが可能な脆弱性を発見した。 研究チームの説明では、問題の骨子は以下の通りだ。 攻撃者がブラウザのトラフィックを傍受できる多くの現実にあるネットワーク環境では、攻撃者がHTTPSサーバからの秘密データを盗むこと、HTTPSのページを偽造すること、認証されたユーザーを装ってHTTPSサーバーにアクセスすることが可能である。これらの脆弱性は、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
