TidBITS#1219/14-Apr-2014 何千何万という有名なウェブサイト、例えば Yahoo、Dropbox、Instagram、Netflix、Minecraft などが、最近発見された Heartbleed バグによる脆弱性を持っていることが判明した。セキュリティ専門家はこの事態を「壊滅的」と形容している。TidBITS 出版者 Adam Engst はセキュリティ担当編集者 Rich Mogull と協力してこのバグについて解説し、普通のインターネットユーザーにとってこれが何を意味するかを説明する。それよりもっとはっきりしたコンピュータのリスクの一つに首への負担があるが、これを解決しようとするのが極めて携帯に便利な Roost ラップトップスタンドだ。コーヒーショップの常連客でもある Jeff Carlson がこのスタンドを詳しく検討する。Wi-Fi アクセスが可能な場所
In the aftermath of Heartbleed, it has become clear that revoking potentially compromised certificates is essential. On Thursday, CloudFlare announced it was reissuing and revoking all of its SSL certificates. The effects of CloudFlare’s mass revocation are evident in a single Certificate Revocation List (CRL) belonging to GlobalSign, which grew by almost 134,000 certificates. So, we @CloudFlare d
オープンソース・セキュリティー・ソフトウェアOpenSSLの致命的な欠陥「Heartbleed」によって、ウェブ全体のほぼ3分の2が悪意ある攻撃の危険に晒された。おかげでインターネット・ユーザー達は、自分のパスワードを変更し、そのオンライン・アカウントがハッキング被害にあっていないかどうかの確認に追われている。 関連記事:ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 特に、認証用のプライベート・キーをサーバーから奪うことは不可能だと考えられていたため、Heartbleedは多数のウェブサイトにセキュリティの悪夢を引き起こした。Heartbleedが発覚して6時間もたたないうちに、カナダでは900人を超える人々の納税情報がハッカーに盗まれてしまったのだ。 この最悪の状況にも希望の光は存在する。「Perfect forward secrecy」と呼ばれる暗
Broadcom Software Academy We are pleased to announce the launch of the redesigned and upgraded Broadcom Software Academy. Enterprise Software Industry analysts agree: a scalable, open and flexible digital business technology platform is mandatory for digital business success. Explore our capabilities NetOps Virtual Summit Discover how leading organizations are using DX NetOps and AppNeta to assure
実際にデータが漏れる様子を見たい方はコチラ→あ、何か漏れてる… OpenSSL Heartbleed 実験その2へどうぞ。 さて ネット上の通信の大部分において「安全」を担保していた OpenSSL なのですが... でっかい穴 が空いていたことが明らかになったようです。いわゆる Heartbleed バグ。トホホです。 「ネット上のサービスで OpenSSL を使っている(いた)サイトは、もしかしたらこのバグを知っていた悪い人からサーバー上の情報を盗まれていたかもよ? しかも盗んだ形跡は残らないんだぜ?」 ということになります。 サーバー上の情報というのは、例えば パスワード、メールアドレス 自分で登録した名前とか住所とか もちろん自分で入力したクレジットカード番号とか… などなど。 Mashableによると、有名なサービスでヤバイのは、 Facebook Tumblr Google Y
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579502644279735608.html
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
インターネット上での買い物や財産管理、電子メールの送受信などにおけるプライバシーを守ってくれるはずのセキュリティ・ソフトに関する重大なバグ、「Heartbleed」が最近発見された。今のところ、このバグによる実際のファイナンス情報やアカウント情報その他に関する傍受や盗難に繋がるような被害は報告されていないが、恐らくそれは時間の問題だ。 良いニュースは、こうした傍受や盗難から自分の情報を保護する方法があるということ。悪いニュースは、それらの対策は単純だが必ずしも簡単ではないということだ。 なぜ Heartbleed は深刻なのかまず簡単に背景を説明しよう。ハッカーなどの攻撃者が Heartbleed バグを悪用した場合、サイト上のウェブ・コミュニケーションを保護してくれるはずの、OpenSSLと呼ばれるオープンソースの暗号化セキュリティ技術を迂回できてしまう。このバグによって攻撃者はウェブサ
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く