yebo blog: SSL/TLSにMITMを可能にする脆弱性
2009/11/06 SSL/TLSにMITMを可能にする脆弱性 SSL 3.0/TLS プロトコルで再ネゴシエーションを利用して、MITM攻撃を可能にするセキュリティの脆弱性が見つかったそうだ(BID 36935)。MITM攻撃に成功すると、任意のテキストを入れることができる。この脆弱性は実装の問題というよりも設計上の問題から起こるらしく、最新の Microsoft IIS、Apache httpd、OpenSSL でも起こる。Ben Laurie氏によっOpenSSL用のパッチが作成されているが、再ネゴシエーションを止めないといけないようだ。恒久的な解決策が今も検討されているが、IETFのTLS Channel Bindings WG が解決策をRFC 5056として発表している。 Marsh Ray | Authentication Gap in TLS Renegotiation
2009年9月16日、W2Cマークアップエンジニア・ワーキンググループでお話しした「マークアップエンジニアが知っておきたい3つの脆弱性」に関するサポートページです。とりあえず資料がダウンロードできます。 資料ダウンロードプレゼンテーション資料の PDF 版がダウンロードできます。 bakera_w2cWG.pdf (PDFファイル 487KB) 無断での再配布はご遠慮ください。また、資料内に含まれる画面キャプチャは全て削除されていますので、一部不自然な空白があります。 以下に若干の補足があります。 マークアップエンジニアが知っておきたい3つの脆弱性:補足 参考サイト話の中で触れたり、参考にしたりしたサイトです。 情報処理推進機構 (www.ipa.go.jp)経済産業省告示「ソフトウエア製品等脆弱性関連情報取扱基準」(PDF) (www.meti.go.jp)ソフトウェア等の脆弱性関連情報
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
写真●左からジェイサートの石原章年社長,米Go Daddy GroupのWarren Adelman社長兼CEO,同Business DevelopmentのYong Leeディレクタ 北米でドメイン名登録の価格破壊を巻き起こした立役者が,SSL証明書を先兵に日本市場に参入する。ジェイサートは2008年12月10日,米Go Daddy Groupと日本市場における協業で合意したと発表。2009年春をめどに,Go Daddy傘下のStarfield Technologiesが発行するSSL証明書を「額面で国内最安,サーバー数無制限で実質的には激安」(石原章年社長)の価格で提供するとぶち上げた。 国内でのラインナップは,Go Daddyが販売するStarfieldブランドのSSL証明書に準じる。国内でのサービス名は未定。ドメイン認証のみの「Standard」,企業や団体など組織の実在性を認証す
このスライドについて 2008 年 7 月 12 日の第 15 回まっちゃ 139 勉強会のライトニングトークで発表した (出来なかった :-p) 資料です. (予想通り? :-p) 内容以上に質問のあったこのスライドで使っているソフトについて. W3C の HTML Slidy で作成しています. 他にも似たようなもっと高機能なツールで S5 とか S6 とかありますね. 使い方 普通のプレゼンソフト的にスペースとか←→キー,マウスクリックでページ遷移します. "F11" で全画面表示します.ただし,Mac OS X では,ブラウザが全画面表示をサポートしてない模様です (Safari, Firefox). "c" でメニューが開きます. "a" でページめくりなしで全ページ表示になります. "s", "b" フォントサイズ変更. 印刷すると,一枚一スライドになるみたいです.今回の資料は
This shop will be powered by Are you the store owner? Log in here
あるセキュリティ研究者が、公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは、セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際、ハッカーが容易にこの通信を傍受可能にする恐れがある。FacebookやYahoo Mail、Hotmailなどのサイトはいまだ脆弱だという。 Riverbed Technologyでリバースエンジニアリングと開発を担当しているMike Perry氏は1年前、ウェブサイトがSecure Sockets Layer(SSL)プロトコルを実装する方法に共通の脆弱性があることをBugTraqメーリングリストで発表した。SSLプロトコルはウェブ閲覧時のデータを守るための仕組み。同氏によると、多くのウェブサイトでは、SSLを使ってデータを暗号化しているのはログインの段階でだけだ
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について (www.verisign.co.jp)」。 Flash版のセキュアドシールが表示できないそうで。 ……しかしこれ、誰が困るのですかね。いつも思うのですが、そもそもこの「セキュアドシール」って何の意味があるのでしょうか。 ベリサインのサイトを見ると「毎日世界で約1.5億回表示」なんて書いてあるようです。シールを表示する際のログはきっちり記録されていて、それがベリサインのマーケティングに役立っているのでしょう。というわけでベリサイン側にはメリットがあるのでしょうが、これを貼る側にどういうメリットがあるのか分かりません。 ベリサインのサイトには以下のよ
日本のウェブアプリケーションセキュリティのの祭典 WASForum Conference が今週末に開催されます。残席わずかで、そろそろ参加申込が締め切られそうなので興味のある方はお早目にどうぞ。 金曜はセキュリティ侵害の事件当事者の方々の講演もあり大変興味深いです。私は会議の都合で途中抜けなければならず、全部聞けないのが非常に悔やまれます。土曜日の方もウェブセキュリティの最新の動向などが聞けそうで楽しみにしています。 ウェブアプリケーションのイベントだけに申し込みがウェブからでできるようになったのはよかったのだけど、フィッシングサイトですらSSLが導入されるこの時代、EV-SSLでもなくオレオレ証明書でもなく生httpで勝負するところが自信が感じられて素敵です。 【イベント】 ■7月4,5日、WASForum Conference 2008開催 http://wasforum.jp/co
自己署名の証明書になっていた。 これは明らかにセキュリティ脆弱性だ。この種類の脆弱性(ブラウザが証明書を検証しない)は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるのではないかと考え、IPAの脆弱性届出窓口に通報した。 この届け出は3月27日に受理された。そして本日、JVNで公表となった。修正版が提供されているので、利用者はアップデートで対応できる。 JVN#76788395 ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性, JVN, 2008年4月23日 パーソナルコミュニケーター "mylo" COM-2 セキュリティ脆弱性対策プログラムご提供のお知らせ, ソニー株式会社, ソニーマーケティング株式会社, 2008年4月2
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
秘密鍵やプライベートな情報などを秘匿するためにパスワードでデータを暗号化・復号したい場合があります。このとき、暗号化と復号するアプリケーションが同じであれば簡単ですが、例えばCで暗号化してJava、Perl、Rubyで復号するといった風に異なるプラットフォームで暗号データをやりとりする場合には、いくつか気 をつけなければいけないポイントがあります。 OpenSSLによる暗号化 OpenSSLはWebサーバのSSL/TLSサポートに利用されますが、その他にも付属しているopensslコマンドから基本的な暗号アルゴリズムを利用できます。次のような簡単なコマンドで、パスワードを使ってデータを暗号化したり復号したりすることができます: $ echo 'Hello World!' | openssl enc -e -aes-128-cbc > cipher.txt enter aes-128-cbc
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
