サーバ証明書が備える2つの機能 Webサイトの安全な利用に欠かせないSSLサーバ証明書。第1回はサーバ証明書の基本的な役割と、EV SSL証明書が登場した背景について紹介しました。では、サーバ証明書によって、サイト運営者と利用者にはどんなメリットがもたらされるのでしょうか。今回はサーバ証明書全体の仕組みを見ながら、それによって確保されるWebサイトの安全性の内容について確認し、導入の必要性について解説していきます。 運営者・利用者双方にメリットをもたらすSSLサーバ証明書 サーバ証明書によってもたらされるWebサイトの安全性は、「実在性証明」と「暗号化通信」というふたつの機能に基づくものです。これによって、たとえば"A社が運営するオンラインショップ"を考えた場合、ショッピングサイトと利用者には次のようなメリットがもたらされます。 A社が運営するオンラインショップ 利用者に対して、ショッピン
アドレスバーでわかるWebサイトの安全度 Windows Vistaを使っている人は、Internet Exproler(IE) 7でオンラインバンクやショッピングサイトなどを開いたとき、突然アドレスバーが緑色になったり赤くなったりするのを目にしたことはありませんか? ⇒試しにココにアクセス! 実はこれ、Webサイトの安全性を教えてくれる新しい仕組みなのです。IE7で「フィッシング詐欺検出機能」を有効にしていると(※)、Webサイトの危険度を赤色や黄色で通知します。そして、信号と同じようにアドレスバーが緑色に変わったら「安全、進め」のサイン。この緑色になるWebサイトには、「EV SSL」(イーブイ・エスエスエル)という新しい認証方式が使われており、安心して利用できるサイトであることを示しているのです。もし、オンラインショッピングに不安がある人でも、アドレスバーが緑色になるサイトなら大丈夫
● 「SSL=安全」ではない 前回はWebの暗号化転送としてのSSLとRSA暗号の話をした。繰り返しになるが、SSLが行なっていることは次の3つだ。 ・サーバーのドメインとアクセスしているドメインが本当に同じか確認する ・サーバーとパソコンの間で安全に共通鍵を交換する ・サーバーとパソコンの間で共通鍵を使ってデータのやり取りをする では、SSLで守られていれば安全だろうか? これは違うと思って欲しい。 もしもサーバーやクライアントマシンが何らかの方法で「覗かれている」場合、SSLだから安全ということは一切ない。いわゆるスパイウェアが仕込まれているなら、暗号化通信をしていても関係なく情報を盗み出せる。また、サーバーに保管されたデータを何らかの形で盗まれても意味がない。このため、サーバー側の安全策を認定する制度もある。 筆者がこの手のセキュリティに興味を示した背景には、情報流出事件があった。例
偽サイトにアクセスしてしまった場合でも慌てることはない。個人情報を入力しなければ、被害を避けられる。偽サイトを見破るポイントは、Webブラウザーのアドレスバーや「鍵マーク」を確認すること。基本的なセキュリティ対策も忘れないように(図1)。 図1●偽サイトにだまされないポイント アドレスバーに表示されているアドレス(URL)を確認することが第一。個人情報を入力するWebページでは、鍵マークなどが表示されていることをチェックして、SSLが使われていることを確認する。利用しているソフトウエアのぜい弱性の解消や、ウイルス対策の実施といった基本的なセキュリティ対策を施すことも重要だ。 アドレスで一目瞭然 Webページの見た目から偽サイトかどうかを判断するのは難しい。本物のサイトに置かれているHTMLファイルや画像ファイルをそのままコピーして使っているからだ。 しかし、Webサイトの「住所」に当たるア
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
「悪意ある拡張機能ではないこと」、「作者に悪意が無いこと」は証明できないですよねっ。ねっ。……と、往生際の悪い食い下がり方をしてみる僕なのでした。 SSLや電子署名は、証明書がベリサインやジオトラスト等の機関から発行されていたとしても、証明書所持者が善人である事を証明しない。金さえだせば悪人でも正規の証明書が手に入る。 “本物”のSSL証明書を持つフィッシング・サイト出現:ITpro 例えば、はてなはジオトラストから発行された証明書を所持しており、ログイン時のSSLで使用している。しかし、ジオトラストは、はてなが善良な会社であることを保証しない。id:jkondoやid:naoyaが、[非モテ]タグを多用するユーザの個人情報をひそかに収集し、出会い系サイトや風俗情報業者に売り払ったりしない、ということを保証しない。はてなという会社の信頼性は、ユーザ自身がはてなを信頼することで担保されている
SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
SSL クライアント証明書の発行 Posted by Gosuke Miyashita Fri, 08 Sep 2006 18:18:41 GMT OpenSSL で クライアント証明書を発行する手順メモ。 openssl.cnf の修正 パスは環境によって違うでしょうが、うちの場合は /usr/local/ssl/openssl.cnf 。 # For normal client use this is typical # nsCertType = client, email を以下の様に変えとく。 # For normal client use this is typical nsCertType = client, email CA 用ファイルの作成 直接 openssl コマンド叩くよりも、OpenSSL 付属の CA.sh や CA.pl を使うほうが楽。どちらもやれることは一緒
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
