● 「SSL=安全」ではない 前回はWebの暗号化転送としてのSSLとRSA暗号の話をした。繰り返しになるが、SSLが行なっていることは次の3つだ。 ・サーバーのドメインとアクセスしているドメインが本当に同じか確認する ・サーバーとパソコンの間で安全に共通鍵を交換する ・サーバーとパソコンの間で共通鍵を使ってデータのやり取りをする では、SSLで守られていれば安全だろうか? これは違うと思って欲しい。 もしもサーバーやクライアントマシンが何らかの方法で「覗かれている」場合、SSLだから安全ということは一切ない。いわゆるスパイウェアが仕込まれているなら、暗号化通信をしていても関係なく情報を盗み出せる。また、サーバーに保管されたデータを何らかの形で盗まれても意味がない。このため、サーバー側の安全策を認定する制度もある。 筆者がこの手のセキュリティに興味を示した背景には、情報流出事件があった。例
偽サイトにアクセスしてしまった場合でも慌てることはない。個人情報を入力しなければ、被害を避けられる。偽サイトを見破るポイントは、Webブラウザーのアドレスバーや「鍵マーク」を確認すること。基本的なセキュリティ対策も忘れないように(図1)。 図1●偽サイトにだまされないポイント アドレスバーに表示されているアドレス(URL)を確認することが第一。個人情報を入力するWebページでは、鍵マークなどが表示されていることをチェックして、SSLが使われていることを確認する。利用しているソフトウエアのぜい弱性の解消や、ウイルス対策の実施といった基本的なセキュリティ対策を施すことも重要だ。 アドレスで一目瞭然 Webページの見た目から偽サイトかどうかを判断するのは難しい。本物のサイトに置かれているHTMLファイルや画像ファイルをそのままコピーして使っているからだ。 しかし、Webサイトの「住所」に当たるア
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
「悪意ある拡張機能ではないこと」、「作者に悪意が無いこと」は証明できないですよねっ。ねっ。……と、往生際の悪い食い下がり方をしてみる僕なのでした。 SSLや電子署名は、証明書がベリサインやジオトラスト等の機関から発行されていたとしても、証明書所持者が善人である事を証明しない。金さえだせば悪人でも正規の証明書が手に入る。 “本物”のSSL証明書を持つフィッシング・サイト出現:ITpro 例えば、はてなはジオトラストから発行された証明書を所持しており、ログイン時のSSLで使用している。しかし、ジオトラストは、はてなが善良な会社であることを保証しない。id:jkondoやid:naoyaが、[非モテ]タグを多用するユーザの個人情報をひそかに収集し、出会い系サイトや風俗情報業者に売り払ったりしない、ということを保証しない。はてなという会社の信頼性は、ユーザ自身がはてなを信頼することで担保されている
SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
