Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

関連タグで絞り込む (5)

タグの絞り込みを解除

HTTPSに関するzanastaのブックマーク (5)

  • BREACH攻撃 - てきとうなメモ

    BREACH ATTACK breachattack.com/resources/BREACH - SSL, gone in 30 seconds.pdf HTTPの圧縮機能を用いて、HTTPS上の通信をみてCSRF tokenなどの秘密を推測することができるという脆弱性。 以前CRIMEという脆弱性があったのだが、あれはHTTPSの圧縮機能というあまり使われていない機能を用いていたので、その機能をオフにすればよかった。 しかし、今回のはHTTP上のgzip圧縮などが該当するので使っているところは多そうなので、なかなかオフにはしづらい。そしてそれ以外の対策がCSRF tokenの生成方法を変更するなどめんどくさいので対策がとりにくい。 ただし、攻撃者はユーザのHTTPS通信を盗聴でき、かつ、攻撃者がユーザに脆弱性のあるサイトにHTTPリクエストを送信させることができなければならないので、そ

    BREACH攻撃 - てきとうなメモ

  • 日本の金融機関はなぜ「常時SSL」を実装しないのか?

    の金融機関はなぜ「常時SSL」を実装しないのか?:萩原栄幸の情報セキュリティ相談室(1/2 ページ) 通信内容を盗聴されないための暗号化通信の導入が世界中の多くのWebサイトで進んでいる。だが、日ではまだ少なく、金融機関でも対応が鈍い。その理由はなぜか。 連載で以前にノマドワーカーに関する記事を掲載した。記事の最後に「HTTPS通信などについては、機会があれば筆者の意見を含めて解説したい」を記載したところ、「この続きを読みたい」というご依頼のメールを何通かいただいたので、今回はその件について触れたい。 きっかけは、以前の記事にも登場したノマドワーカーでフリーライターのA君である。彼は筆者の忠告を素直に聞きながら、できるだけ安全な公衆Wi-Fiを利用するようになった(公衆Wi-Fiそのものを利用しないという選択肢はなかったようである)。その時の続きから始めよう。 なお、以降では日

    日本の金融機関はなぜ「常時SSL」を実装しないのか?

  • HTTPSを使ってもCookieの改変は防げないことを実験で試してみた

    寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe

    HTTPSを使ってもCookieの改変は防げないことを実験で試してみた

  • 他人のCookieを操作する - T.Teradaの日記

    少し前の話ですが、Googleが自身のWebサイトの脆弱性発見者に対して、報酬(現金 500 USD以上)を支払うプログラムをはじめています。 Google Online Security Blog: Rewarding web application security research 過去にも、脆弱性の発見者に報酬を支払うプログラムはありましたが、Webブラウザ等のソフトウェアの脆弱性が対象でした(参考)。 今回のプログラムでは、Webアプリの脆弱性が対象だというところが特色です。しかも、実際に運用されている番のGoogleサイトの脆弱性が対象です。その脆弱性の発見者に報奨金を払うということは、(一定の制約は設けていますが)基的に自由に番サイトの検査をしてよいといっているわけです。 実際にやってみる Webアプリの診断をやっているものにとっては、これ以上のお小遣い稼ぎはない!と思

    他人のCookieを操作する - T.Teradaの日記

  • 今更聞けないSSL/HTTPS - Qiita

    SSL/HTTPSの仕組みをざっくり理解しながら、 オレオレHTTPSの稼働まで。 ##0.そもそもSSLって何? ###概要 SSLサーバー証明書とはウェブサイトの所有者の情報、送信情報の暗号化に必要な鍵、発行者の署名データを持った電子証明書です。 SSLサーバーには主に二つの役割があります。 証明書に表示されたドメインの所有者であることの証明 ブラウザとウェブサーバー間でのSSL暗号化通信の実現 一般的には、第三者サービスがWHOISと企業実在情報を照会して証明書を発行します。証明書を発行する人を認証局といいます。 よし、SSLサーバー証明書をつくればいいんだな。 ###オレオレSSLとは "俺自身が認証局になることだ…" 社会的信用はないSSLなので運用には注意してください。 ###その前に、暗号化ってなんですか? # encoding: utf-8 require 'OpenSSL

    今更聞けないSSL/HTTPS - Qiita
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.