Web over HTTPS DevFest Tokyo 2016 #devfest16 2016/10/0
0. 短いまとめ 昨晩apache2.4でHTTP/2利用時にTLSクライアント認証をバイパスする脆弱性(CVE-2016-4979)が公表され、対策版がリリースされました。 実際に試すと Firefoxで認証バイパスができることが確認できました。 HTTP/2でTLSのクライアント認証を利用するには仕様上大きな制限があり、SPDY時代から長年の課題となっています。 この課題を解決するため、Secondary Certificate Authentication in HTTP/2という拡張仕様が現在IETFで議論中です。 1. はじめに ちょうど昨晩、apache2.4のhttpdサーバの脆弱性(CVE-2016-4979)が公開され、セキュリティリリースが行われました。 CVE-2016-4979: X509 Client certificate based authenticatio
前編では、CRL(Certificated Revocation List)とOCSP(Online Certificated Status Protocol)の違いと、証明書の有効/失効をブラウザで確認する方法について解説しました。後編ではまず、現時点で利用できる3種類の証明書「Domain Validation(DV)」と「Organization Validation(OV)」「Extended Validation(EV)」について説明します。 DV(ドメイン認証)証明書 DV証明書は、最も安価で最も良く利用されている証明書です。証明機関は企業や組織に求める情報を独自に設定しており、シンプルな認証内容と簡潔な手続きが特徴です。 一例を挙げると、企業側はWebサーバー上の対象となるドメインに、ドメインの認証証明機関から送信されたファイルを設置します。これだけで証明機関は正しい所有者で
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Disclaimer 本エントリは、近々IETFで標準化される予定の新しいTLSの暗号方式 ChaCha20-Poly1305 について解説したものです。 本来なら、新しい暗号方式を紹介するいうことは、その暗号の安全性についてもちゃんと解説しないといけないかもしれません。しかし一般的に暗号の安全性評価はとても難しく、専門家でない者が暗号の安全性について軽々しく書くわけにはいかないなとも思いました。いろいろ悩みましたが、結局無用な誤解を避けるため、本エントリーでは ChaCha20-Poly1305 の安全性に関する記載を最小限に留めています。 今回紹介する ChaCha20-Poly1305 は、これまでも様々な暗号研究者の評価を受けている暗号方式ですが、まだNISTの標準や某国の推奨暗号リストに掲載されるといった、いわゆる特定機関のお墨付きをもった暗号方式ではありません。記載内容が中途半
Linuxで利用されるGNUのCライブラリ「glibc」に、深刻なバッファオーバーフローの脆弱性「CVE-2015-7547」が含まれていることがわかった。修正パッチが公開されている。 同脆弱性は、関数「getaddrinfo」を利用し、クライアント側で名前解決を行う際にバッファオーバーフローが生じる可能性があるもの。2008年5月に公開された「同2.9」以降のすべてのバージョンが影響を受けるという。 同ライブラリを用いたソフトウェアで、悪意あるドメイン名を処理したり、悪意あるDNSサーバとの通信、マンインザミドル攻撃などで脆弱性が悪用されるおそれがあり、リモートでコードを実行されるおそれがある。 脆弱性にはRed Hatの研究者が最初に気が付き、開発グループが修正パッチを公開した。修正へ協力し、脆弱性の詳細を明らかにしたGoogleの研究者は、実証コード(PoC)を公開。パッチの適用やす
fossBytesに12月11日(米国時間)に掲載された記事「MIT Develops Secure SMS System Which Is Even More Anonymous Than Tor」が、MITの研究者らによって「Vuvuzela」と呼ばれるSMSシステムが開発されたことを伝えた。この新しいネットワークはTorネットワークにおけるデータトラフィックパターンの解析を実施した後に考案されたもので、Torよりも安全なネットワークとされている。 MITの研究者らはそれぞれのTorノードを通過するパケット・ディレクションのパターン解析を実施し、99%の正確さでその通信が通常のWebブラウジングによるものかイントロダクションポイントによるものかを判別できることを発見したという。この解析結果を受けて設計されたネットワークが「Vuvuzela」であり、よりトレースが困難でTorよりも安全で
この記事はWordPress Advent Calendar 2015の7日目の記事です。 今年初めてWordCamp Tokyoにて講演の機会をいただき、WordPressのセキュリティについて話しました(スライド)。そこでもお話ししましたが、WordPressに限らず、Webサイトへの侵入経路は2種類しかありません。それは以下の2つです。 ソフトウェアの脆弱性を悪用される 認証を突破される したがって、侵入対策としては以下が重要になります。 全てのソフトウェア(OS、Apache等、PHP、WordPress本体、プラグイン、テーマ等)を最新の状態に保つ パスワードを強固なものにする 以上! と叫びたい気分ですが、それではシンプル過ぎると思いますので、以下、WordCampでお話した内容とリンクしながら、もう少し細く説明したいと思います。 全てのソフトウェアを最新の状態に保つ Word
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く