Web安全神話を揺るがすDNSの脆弱性、影響は想像以上
セキュリティ研究者のダン・カミンスキー氏が発見したDNS(Domain Name System)プロトコルの脆弱性は、恐らく過去数年で見つかったほかのどの脆弱性よりも、インターネットの信頼の輪が想像以上にたやすく破られてしまうことを示している。 カミンスキー氏は8月6日、ラスベガスで開催のBlack Hatカンファレンスで講演し、この脆弱性の影響がDNSキャッシュポイズニングにとどまらないことを明らかにした。その後同氏が述べた通り、これはドミノ倒しだ。Webトラフィックを悪質サイトにリダイレクトするドミノの次は、企業の重要な電子メールが傍受されるドミノかもしれない。可能性は膨大にあり、問題をはらんでいる。 「大企業の電子メールがすべて盗まれるのではないかと、先月は不安な思いで過ごした」。IOActiveの侵入テスト責任者であるカミンスキー氏は講演後、記者団に対しこう語った。 ベンダー各社は
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれだけの理由
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
Apache Now the Leader in SSL Servers | Netcraft
Now that mod_ssl is included as standard in version 2, Apache has become more popular for hosting secure websites. The total for Apache includes other projects from the ASF including Tomcat, and includes Apache-SSL, but does not include derived products like Stronghold or IBM HTTP Server. c2net/Red Hat includes only Stronghold and Red Hat SWS. Apache is also gaining from geographical changes. The
“本物”のSSL証明書を持つフィッシング・サイト出現
“本物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より) 米SANS Instituteや米Websenseは現地時間2月13日,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行されたSSL用サーバー証明書(デジタル証明書)を持つ偽サイトが確認されたとして注意を呼びかけた(関連記事)。 確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽
高木浩光@自宅の日記 - Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号
■ Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号 以下は、昨年10月16日に書き始めたものの、頓挫していた日記ネタである。書き終わっていないが、ワケあって今日、取り急ぎ放出する。以下の表にある調査内容は、昨年10月16日時点のものであり、現在もこの状態であるとは限らない。 職場では隣の席にいる大岩さんの自宅の日記に、Mozillaで弱い暗号の使用を無効にする方法が書かれている。 40ビット暗号の攻撃可能性 Mozilla Suite における弱い暗号化を無効化する設定 Mozilla Firefox における弱い暗号化を無効化する設定 私は9月8日の日記で、 サーバ側がSSL 2.0しかサポートしていないWebサイトにアクセスすると、弱いプロトコルで通信させられることになるので、ユーザの自衛策として、ブラウザの設定で「SSL 2.0を使用する」をオフにしておいた方がよ
個人が暗号を使う時代は終わった
2006年1月26日,電子メールの署名・暗号化ツール「PGP」(Pretty Good Privacy)の開発会社である米PGP社が日本法人の設立発表会を開催した。運用管理の話題を追い続けてきた記者としては恥ずかしい話だが,筆者はその発表会に参加するまで,PGPが電子メール・サーバー向けのソフトとして同社の事業拡大に大きな役割を果たしてきたことを知らずにいた。 前回の本コラムで記者は,分散していた資源をデータセンターに集中化するシンクライアント(画面情報端末)が,2005年4月に全面施行された個人情報保護法と,同法に基づく情報漏えい対策が発端となって注目されていると書いた。シンクライアントのシステム形態では,アプリケーションのCPU処理をデータセンター側に集中させる。 CPU処理などのリソースをどこに配置すべきかという話題はとても興味深い。処理内容以外にセキュリティ対策の需要,WAN回線の
OpenSSLがFIPS認定を取得 - SourceForge.JP Magazine
米国政府およびカナダ政府の共同プログラムCryptographic Module Validation Program(CMVP)は、1月20日、オープンソース・セキュリティ・ツールキットOpenSSLによるSecure Sockets Layer(SSL)プロトコルおよびTransport Layer Security(TLS)プロトコルの実装を認定すると明らかにした。 フリーのオープンソース・ツールキットOpenSSLは、すでに世界中の企業や団体が利用しているが、Federal Information Processing Standard(FIPS)140-2の条件を満たしていることが認定されれば、米国およびカナダの機密データを扱う政府機関でも利用できるようになる。 CMVPは米国のNational Institute for Standards and Technology(NI
ウェブサイトの信頼性を高める新たな試み
ウェブブラウザの下部に表示される鍵型をしたアイコンへの信頼性が、緩い基準とずさんな監督のために低下してしまっているが、今年認証基準の強化とブラウザのアップデートが実施されれば、この信頼性も再び向上することになるだろう。 この黄色い鍵のアイコンは、アクセス中のウェブサイトとブラウザとのデータのやりとりが暗号化されており、認証機関と呼ばれる第3者組織によってそのサイトが本物であると確認/保証されていることを示している。しかし近頃では認証の基準が緩くなっていることから、鍵アイコンが表示されていても、そのサイトが安全であるとは言えなくなっている。 この問題を解決するために、SSL(Secure Socket Layer)証明書を発行する複数の企業が各ウェブブラウザの開発元と協力して、「信頼性の高い」新しいタイプの証明書を開発しようとしている。これらの企業は「CA Forum」と呼ばれる非公式な組織
なぜSSL利用をケチるのか
Eメールから,真正なサイトになりすましたWebサイトに誘導し,IDやパスワードなどの情報を盗み取るのがフィッシングだ。フィッシングによる金銭的な被害は,国内でも2004年9月には発生している(関連記事)。それから1年以上が経つ。Webサイトにとって基本的なフィッシング対策の一つは,SSLをログイン画面から使うこと。しかし,この基本対策をなおざりにしているWebサイトがまだ多い。 SSLならアクセス先を確認できる 一見,暗号化のためのSSLとフィッシング対策とは,関係ないようにも思える。でも実は,SSLには暗号化のほかに,電子証明書で身元を証明するという機能も備わっている。Internet ExplorerなどのWebブラウザで,SSLを使用していることを示す鍵(かぎ)マークをクリックすると,電子証明書が表示される。利用者が意識してこの証明書を確認すれば,アクセス先がどこであるかが判別できる
Ajaxで基本認証 SSL - [JavaScript]All About
JavaScript ガイド:高橋 登史朗 Ajaxなど、何かと最近騒がれているJavaScriptの最新情報とその活用方法を解説します。 掲示板 取材依頼 問合せ Ajaxで基本認証+SSL 前回は、Ajax+PHPでの動的なテーブル書き換えを行いました。 つまり、Ajaxを利用したページ構築と動的書き換えについての話題でした。今回は、ページに入る前の話題です。 ユーザーを限定した基本認証ページをAjaxで利用してみます。 AjaxをいじっていてXMLHttpRquestのopen()メソッドに「ユーザー名」「パスワード」という引数があることに気づかれた方も多いと思います。これで、基本認証ページを利用することができます。 Webサービスなどの実際の業務の中で生まれてきたAjaxにとって、ユーザー限定のサービスは大切です。XMLHttpRquestオブジェクトに仕込まれ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ネットワークマガジン - Network Magagine - 徹底比較 SSLサーバ証明書の「値段」と「品質」
安全なWebサイト設計の注意点