より危険な日本の「ハートブリード」問題:日経ビジネスオンライン
世界のセキュリティー(安全)を揺るがしているのは、ウクライナ問題だけではない。市場規模が年間150兆円へと急膨張しているネットビジネスの世界でも、「ハートブリード」(心臓の出血)と呼ばれるインターネット暗号化ソフトの欠陥問題が、セキュリティーの心臓部を直撃している。 日本では一部を除いて、この重大問題への関心は低い。著者は情報セキュリティー関連の日系米国人起業家で、現在、内閣府参与として情報セキュリティー政策にも関与する齋藤ウィリアム浩幸氏。連載の第1回では、「ハートブリード」問題と日本の課題について述べる。 情報セキュリティーは、日本の新しい産業になる可能性がある。いや、そうしなければならないと考えている。 夢物語を言っているわけではない。拙著『ザ・チーム 日本の一番大きな問題を解く』でも述べたように、私はセキュリティー関連企業を米国で起業し、世界標準となった生体認証技術を確立した後、日
SSL is not about encryption
これはTroy Hunt氏によるSSL is not about encryptionの和訳である。@ten_forward氏による翻訳もあるが訳がわかりづらいので、ほとんど参考にせずに翻訳し直した。 SSL is not about encryption. は The basic purpose of SSL is not encryption. のように訳す。同様な文例に Copyright is not about copying. がある。@ten_forward氏による「SSLは暗号化のためのものではありません」は誤訳である。ここでは「主目的ではない」と訳す。 SSLの主目的は暗号化ではない SSLの主目的は保証することである。サイトが本物であることにある程度の信頼性を与えることで、データの送受信を行う際にデータが横取りされることも改ざんされることもなく意図した相手に届くと確信で
2017年12月以降に発行されたSSLサーバ証明書 (マネージドCA対応後のSSLサーバ証明書) クライアント対応状況
Description 2017年12月以降に発行されたSSLサーバ証明書 (マネージドCA対応後のSSLサーバ証明書) のクライアント対応状況について紹介いたします。 ※このページでは、SHA-2対応版SSLサーバ証明書の対応状況をご紹介しております PCブラウザ Internet Explorer 6.0以降 ※1 Firefox 1.0.0以降 Google Chrome 1.0以降 Safari 3.1以降 ※1 : Windows XP SP3以降 スマートフォン : アクセスカバー率=100% ※2 Android 1.5 以降 ※3 Blackberry iOS Windows Phone 7 以降 ※2 : 2017年11月 株式会社ウェブレッジ調査(アクセスシェアデータに基づくウェブサイトにアクセスするスマートフォンの機種別アクセス数から算出) ※3 : クロスルート証明
ptlabo.net
ptlabo.net 2018 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact information can be found in whois). Privacy Policy
ベリサインなど、1日単位で購入できるSSLサーバ証明書--1日100円
SBIベリトランス、日本ベリサイン、日本ジオトラストの3社は2月28日、Amazon Web Services(AWS)が提供するクラウドサービス「Amazon Elastic Compute Cloud(EC2)」の利用顧客を対象に1日単位での購入、利用が可能なSSLサーバ証明書「ワンコインSSL」を3月1日から販売すると発表した。利用料金は1日100円(税別)。1日単位での購入、利用が可能なSSLサーバ証明書は日本初という。 ワンコインSSLは、ジオトラストが発行する「ジオトラスト クイックSSLプレミアム」を従来の年次単位ではなく、利用顧客のニーズにあわせ最短1日から利用を可能とする。これにより「短期間の期間限定利用を前提としたキャンペーンサイト」や「サーバリソースを柔軟に利用できるクラウド環境でのサイト」を構築する際など、従来のSSLサーバ証明書ではカバーできなかったニーズに対応す
AndroidアプリケーションのSSL通信をプロキシで解析する(1)
0x00. はじめに Androidアプリケーションの解析の際に、それがどのようなSSL通信を行っているかが重要となる場面がある。そのようなとき、Doormanのようなローカルプロキシでその通信をフックすることができれば目的が達成できる。 しかし通常の(PC上の)ウェブブラウザのSSL通信と同じように、Androidにも元々「信頼できるもの」として扱われるルート証明書群がインストールされており、これらの証明書を元にSSL通信が実施されてしまう。ただ単にローカルプロキシでSSL通信をフックしようとしても、当然「偽物の証明書である」としてエラーとなってしまうため、プロキシでのフックを実施するためには少し工夫が必要となる。いくつかの方法が考えられるが、このエントリではまず筆者が一番はじめに試した方法を紹介する。 0x01. 対象 まず、今回はURLConnectionクラスを使ったSSLのアクセ
Android上のブラウザからSSLクライアント認証の必要なサーバへアクセスする方法 : DSAS開発者の部屋
■ 初めての Android 端末(IS01)のブラウザで困ったこと KLab では、社員が社外から社内 LAN 上のサーバへ安全にアクセスするために、自社製の SSL-VPN システムである「VPN-Warp」を使っています。これにより、社員はインターネット上の専用の中継サーバへアクセスすることで所定の社内サーバと通信することが可能です。この中継サーバは不正利用を防ぐためにクライアントからの接続要求時に所定の電子証明書の提示を求める「SSL クライアント認証」を行います。KLab の発行した有効な証明書を提示するクライアントからの要求のみがこれを通過できるというわけですね。 さて、筆者は 2010 年末に IS01 を入手し、あれこれ試していたところひとつ困ったことがありました。Web ブラウザが SSL クライアント認証に対応していないため上記の VPN-Warp 中継サーバ経由で社内
フェイスブックアプリを HTTPS に対応する方法 - IT戦記
はじめに みなさんこんにちは (´・ω・`) 元気ですか?僕は元気です…。 さて。以下の記事で、フェイスブックが HTTPS をサポートするっていうことが書かれています。 Facebookが、サイトをHTTPSサポートする機能を追加しました。Firesheepなどの攻撃から自分のFacebookアカウントを守るためにも、今すぐオンにしたほうが良さそうです。 http://www.lifehacker.jp/2011/02/110202facebookhttps.html HTTPS って何? HTTPS って何?って方向けに簡単に説明しておくと。 「HTTPS を使う」っていうのは、「自分のパソコン」から「フェイスブック」までの「通信経路の途中に居る人」に通信内容を読まれなくなるってことです。 「通信経路の途中に居る人」って言うのは以下のような人ですね。 会社のネットワークの管理者 学校の
【レポート】HTTPSにまつわる7つの誤解 | エンタープライズ | マイコミジャーナル
HttpWatch is an HTTP viewer and debugger that integrates with IE and Firefox to provide seamless HTTP and HTTPS monitoring without leaving the browser window. ブラウザの通信内容を解析してグラフィカルに操作できるようにするアドオンHttpWatchのブログに、HTTPSにまつわる7つのよく誤解される内容が掲載されている。HTTPSに関する説明として参考になる。紹介されている誤解は次のとおり。 1. ログインページにだけHTTPSが必要 Firesheepの登場で注目されるようになったように、ログインページにだけHTTPSを使っている場合、パブリックWifiなどを使う場合にHTTPセッションハイジャックを受ける可能性がある。ログインペー
Apache 2.2(Wind32) with SSL テスト環境導入ノート « Life is Real.
コメントに広告(迷惑)つけるのはやめてね。記事に関係のないコメントもやめてね。 おネぇさん写真はアメブロ(Real Life)で更新するようにしました。 更新していませんが・・・MIXIも ローカルテスト環境のApache2.2をSSL化(https)しようと思っていろいろ調べて導入してみました。 自分用のその備忘録です。検索 すると、OpenSSLのWin32バイナリを別途インストールする必要がある、みたいなことがいろんな解説サイトで見かけましたが、結果的に言うと、 ApacheにSSL通信をさせるだけのテスト目的なら必要ありませんでした。OpenSSL関係の必要なファイルはApache2のバイナリに含まれて います。 (1)Apache Rounge(http://www.apachelounge.com/)で配布されている、SSL付きのバイナリをダウンロードしてインストール。 本
SSLによるSecureWWWサーバの構築(Windows編)
Windows環境でのいろいろなサーバソフトの動作確認をするため、クライアントにApacheを入れていますが、SSL対応ができておらず不便なので対応させてみました。Apache+SSLのWindows版に関してはインターネット上にいろいろ情報はあったのですが、1.3系が主体で情報が古く、2.0系ではうまく動作しませんでした。いろいろ調査した結果、何とか動作するようになったのでここにまとめておきます。 なお、Apacheでは、SSLの運用形態の一つとして単に情報の暗号化を行うだけでなく、認証局(ここではプライベートCAを利用)で認証したクライアント証明書を使用することにより、その証明書を持ったクライアント以外からのアクセスを制限することができます。運用は煩雑になりますので、特別なケースでの運用形態と思われますが、より強力なセキュリティアクセスが可能となります。自宅サーバでも、ローカルな運用に
SSL用証明書の作成(Windows編)
Windows環境でopensslによる各種の鍵や証明書の発行について整理しました。 Linux系は結構いろいろなサイトで紹介されていますが、Windowsについては環境が異なることからなかなかそのままではうまくいきません。おやじも何度かトライしては失敗してきたので、ここで整理しておくことにしました。今回は、たまたまBBSでクライアント証明書に関する話題もあがっていたので、それについても整理しました。 その後、初めに整理した方法ではクライアントがInternetExploreでは問題ないが、Netscape ではうまくインストールできないことが判明しました。また、万が一の場合の証明書の失効処理も配布されているopensslのバイナリにバグがあり、index.txtが壊れるという問題がありうまくできないことが判明しました。いろいろ探し回ったのですが、最新のバイナリがどうしても見つからなかった
コントローラ単位でSSL必須なページはSSLへリダイレクト - cakephperの日記(CakePHP, Laravel, PHP)
cakephp 1.2.6で開発してます。 コントローラ単位に、SSLが必須であれば強制リダイレクトさせる機能。 //app/config/bootstrap.php <?php // HTTP, HTTPSのサーバ名を定義 define( 'SERVER_HTTP', 'http://hoge.example.com' ); define( 'SERVER_HTTPS', 'https://hogessl.example.com' ); // SSLを利用するサイトはTRUE, 利用しないサイトはFALSEを指定 define( 'USE_SSL', TRUE ); ?> //app/app_controller.php <?php //プロパティ var $useSSL = true; //SSLを必須化しないコントローラでは、falseにする function beforeFilte
セッション管理/PHP入門
◆ セッション管理 PHP4.0 から標準でサポートされているセッション管理機能の目的は、多数のユーザがアクセスする Webアプリケーションで、1人1人のユーザを区別することにあります。 クッキーを利用する方法もありますが、セッション管理を使うほうが、はるかに楽な開発が可能になります。 セッション管理の仕組みは、各ユーザの固有の IDをクッキーや URI への埋め込みで保存し、セッションIDを各ページで共有することによって、ユーザを判別することができるようになっています。この節では、セッション管理の仕組みについて解説します。 ■ セッション管理の必要性 Webデータのやり取りは、クライアント側のユーザエージェントと HTTPプロトコルが使われます。HTTPは、1回のリクエスト(要求)とレスポンス(応答)の間に、「接続→通信→切断」という一連の処理が行われます。 つまり、ページを移動するたび
Component for forcing a secure connection (Articles) | The Bakery, Everything CakePHP
With this simple component you can force the user to use a secure connection to the server. Usage To force a SSL connection for a all the action for a single controller just add the force() call in your beforeFilter(). Controller Class:Download code <?php class MyController extends AppController { var $name = 'My'; var $components = array('Ssl'); function beforeFilte
[CakePHP]Cakeで初めてSSLを使ったメモ
明後日リリースするecサイトのプロジェクトで、CakePHPwithSSLを初めて経験したのでメモ。 注文フロー(カート内と呼称)や、問い合わせフォーム、マイページなど、個人情報に関する入力フォームのあるactionはhttps(SSL)のアクセスとする。 事前準備 特定のコントローラ、アクションに対してSSLアクセス必須の定義をするために、 /app/app_controller.phpでSecurityコンポーネントを追加 そのアクセスがSSLかどうかを判定するisSSLを使うために、 /app/app_controller.phpでRequestHandlerコンポーネントを追加 /app/app_controller.phpに_sslFailメソッドを追加 参考:CakePHPクッキング – 投稿の詳細: 特定のURLのみSSL接続を必須にする方法 http://cakephp.b
![[CakePHP]Cakeで初めてSSLを使ったメモ](https://cdn-ak-scissors.b.st-hatena.com/image/square/f030b131c35083706d324b18308f4e9a924a9c82/height=288;version=1;width=512/https%3A%2F%2Fhappyquality.com%2Fwp-content%2Fthemes%2Fsimplicity2-child%2Fimages%2Fog-image.jpg)
Validationのbetweenの注意点
CakePHP1.2 RC2 バリデーションの rule の一つである between を使うときの注意点。 使い方 'sample' => array( array( 'rule' => array('between', 10, 20), ), ), このように Model に書くのですが、なんとなく sample が最小値(10)と最大値(20)の間の値かどうかをチェックしてくれそうですが、実際はバイト数が最小値と最大値の間に入っているかのチェックが行われます。 cake/libs/validation.php function between($check, $min, $max) { $length = strlen($check); if ($length >= $min && $length <= $max) { return true; } else { return fal
[CakePHP] SSL 接続を必須にする SSL コンポーネント | Sun Limited Mt.
CakePHP で SSL 接続を必須にするには以前書いた、Security コンポーネントを使う方法があります。 CakePHP1.2 Security コンポーネントを使用して SSL でのみアクセスを許可する しかし、単純に SSL 接続を必須にしたい場合は、Baker にある SSL コンポーネントを使うのが簡単です。 Component for forcing a secure connection (Articles) | The Bakery, Everything CakePHP 特定のアクションだけ SSL にしたい場合はそのアクションのメソッドに以下のように書きます。 class MyController extends AppController { var $components = array('Ssl'); function index() { $this->S
CakePHP1.2 Security コンポーネントを使用して SSL でのみアクセスを許可する | Sun Limited Mt.
開発案件でアクション毎に SSL でのアクセスを必須にしたかったので調べていたところ下記の情報がありました。 SSL経由でのアクセスを必須にする[CakePHP] YARETOKO「ヤレトコ」メインブログ 早速 cake/cake/libs/controller/components/security.php のソースを確認して検証してみました。 SSL でアクセスするアクションの指定 特定のアクションのみを指定したい場合 <?php class UsersController extends AppController { var $components = array('Security'); function beforeFilter() { $this->Security->requirePost('delete'); } } ?> 管理画面のみを指定したい場合 <?php cla
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
