「Chrome」でHTTP接続サイトへの警告表示、1月に開始へ
Googleは2017年をセキュリティメッセージとともにスタートする。 2017年1月より、Googleはログインやクレジットカード番号の入力を含むウェブページがHTTPSによる暗号化通信をしていない場合、「Not Secure(安全ではない)」というタグをつける。HTTPSは安全性を強化したインターネットプロトコルだ。 Googleは12月27日、ウェブ管理者向けのツール「Google Search Console」で告知を開始し、変更は2017年1月より有効になると警告している。 この変更は、Chromeブラウザのバージョン56以降でサポートされることになっている。 Googleは安全ではないHTTPサイトをコンテンツに関係なくマークするという長期的な計画を持っており、これは第一歩となる。例えば、今後公開されるChromeのバージョンでは、シークレットモード(Incognitoモード)
OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトの開発者でありLibreSSLの開発に携わっているBob Beck氏は5月17日(カナダ時間)、「BSDCan2014: LibreSSL」においてLibreSSLの開発がはじまってからのおおよそ30日間のできごとを伝えた。なぜOpenSSLからLibreSSLを派生させ別プロジェクトとして取り組むことにしたのか、具体的にどういった変更を実施したのかなどが説明された。プロジェクトを立ち上げるきっかけはHeartbleed脆弱性が決め手だったのではなく、そのあとに取り組んだ作業によって別プロジェクトにするという判断が決定的なものになったと説明があった。懸念された点は特に次のとおり。
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ2014.04.24 18:00 satomi サイトがじわじわ来ますね…。 OpenSSLのヘマでHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発に乗り出しました。 Ars Technicaからのメール取材に対し、ラート氏はOpenSSLのダメっぷりをこのように書いています。 うちのグループでは1週間かけてOpenSSLのソースツリーのうち半分を削除した。どれも食い残しをそのまま散らかしてるみたいな不要なところさ。 オープンソースのモデルでは、コードがわかる人間が頼みだ。透明性が頼み。ところがこれがまったくクリアなコードベースじゃないわけよね。なぜってあいつ
三菱UFJニコス、個人情報894人分流出か:朝日新聞デジタル
クレジットカード大手の三菱UFJニコスは19日までに、同社のサイトが外部からの不正アクセスを受け、のべ894人分の顧客カード番号などの個人情報が外部に流出した可能性があることを明らかにした。ネット通販などで使う暗号化ソフト「OpenSSL(オープン・エス・エス・エル)」の欠陥が悪用されたという。 流出した可能性のある情報は、顧客のカード番号や有効期限、ネット用のID、氏名、住所、勤務先など。カード番号は一部が表示されないようになっており、現時点では不正利用の報告はないという。 この暗号化ソフトは多くのサイトで使われているが、欠陥が今月初めに明らかになった。ただ、実際に情報が漏れたケースは国内では初めてとみられる。 三菱UFJニコスによると、11日に不正アクセスが発覚し、ネット上のサービスをいったん停止。欠陥の対策をした暗号化ソフトを導入し、12日に再開した。その後、流出した情報の詳細が判明
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか
「OpenSSL」暗号ライブラリに重大な脆弱性
Heartbleedの影響を受けるのはOpenSSLの1.0.1と1.0.2ベータリリースだけだが、1.01は既に広範に導入されている。Secure Sockets Layer(SSL)とTransport Layer Security(TLS)はインターネットセキュリティの根幹をなしているため、このセキュリティホールは深刻である。 この脆弱性を突かれると、HTTPSを介して行われたクレジットカード決済の情報などのセキュアなメッセージの中身だけでなく、プライマリおよびセカンダリSSLキー自体も盗み見されてしまう可能性がある。理論的には、このデータを合い鍵として利用し、サイトがハックされたことを示す痕跡を全く残さずにセキュアサーバを迂回することが可能だ。 このバグは、OpenSSLの本質的な設計に起因する問題ではなく、実装の問題だ。つまり、プログラミングの過ちが原因である。1.01プログラム
DMM inside
日本アニメ初の快挙!海外アニメ賞を受賞した『スキップとローファー』海外ライセンス部長&プロデューサーが語る、奮闘の舞台裏
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Heartbleed」悪用で初の逮捕者:カナダ当局発表