通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
最近ありがちなHTTPSの罠 | 水無月ばけらのえび日記
公開: 2011年8月14日0時50分頃 こんな話が……「SSL サイトの大半に脆弱性が存在 (japan.internet.com)」。 Ristic 氏によると、Web アプリケーション レベルでは、不適切な実行によって SSL のセキュリティを無効にするものは数多く存在するという。今回の研究で、Ristic 氏は世界の人気の高い SSL セキュアサイト30万件を分析し、SSL に関連する脆弱性の有無を調べた。その結果、保護されていないクッキーを使用したり、保護されたトラフィックと保護されていないトラフィックを混在させたりといった脆弱性が複数見つかったという。 Cookieのsecure属性なしとか、HTTPSとHTTPが混在しているといった話のようで。いずれも、HTTPSを無意味にする Cookieの話は、日本では2003年から警告されている定番の話ですね。 経路のセキュリティと同時
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
