セキュリティ・ベンダーのブログから、最近の話題を紹介する。まずは、セキュアであるはずのHTTPSでも情報漏洩の危険があるという話題からだ。スロバキアのイーセットが、米カリフォルニア大学バークレー校の研究者らが発表した調査結果をブログで紹介している。研究者らは、ユーザーがHTTPS経由で訪問したWebページを約9割の精度で特定できるトラフィック分析の手法を開発したという。これが悪用されれば、健康状態や財務状況、さらには性的嗜好に関するデータが漏洩するおそれがある。 調査では、ビデオストリーミングサイトや医療関連サイトなどのWebページ6000ページに対してトラフィック分析攻撃を行い、89%の確率でユーザーが訪問したページを特定することに成功した。研究者らによると、この手法は精度が60%だった旧来のアルゴリズムと比べ、エラー率を大幅に縮小する。 この攻撃では複数の統計分析方法を使用する。クラス
2011/01/27 米Facebookは1月26日、セキュリティ強化のため、サイト全体にHTTPS暗号化通信を導入することをブログで明らかにした。 これまでFacebookでは、パスワード送信時など限定的な形でHTTPSを実装していた。26日から順次、Facebookでのすべての操作をHTTPSで行うようにし、第三者による盗聴や改ざんからデータを保護するという。特に、コーヒーショップや空港、図書館といった、不特定多数が利用するパブリックな場所からFacebookを利用する際には、HTTPS通信が推奨されるという。 ただしHTTPS暗号化によって、ページの表示に時間がかかり動作が重く感じられる可能性があるほか、サードパーティ製アプリケーションも含め、Facebookの一部の機能が正常に動作しなくなる恐れがある。 HTTPS通信の設定は、Facebookのアカウント設定で「セキュリティ」の項
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-08-10 09:04 Microsoftのセキュリティ研究者が、暗号の仕組みを壊すことなくHTTPSのエンド・ツー・エンドの安全性の保証を破る方法を発見した。 今年まとめられた研究プロジェクトの中で、Microsoft Researchの研究チームが、HTTP/HTTPSの上位にある表示モジュールを標的にすることで、悪意のある中間者によって悪用することが可能な脆弱性を発見した。 研究チームの説明では、問題の骨子は以下の通りだ。 攻撃者がブラウザのトラフィックを傍受できる多くの現実にあるネットワーク環境では、攻撃者がHTTPSサーバからの秘密データを盗むこと、HTTPSのページを偽造すること、認証されたユーザーを装ってHTTPSサーバーにアクセスすることが可能である。これらの脆弱性は、
You can choose how Gmail notifies you when you get new emails. The types of notifications you can customize depends on your device. Check your device notification settings Important: To receive Gmail notifications, turn on device notifications. On your iPhone or iPad, go to your device's settings. Check your notification settings for Gmail. Turn Gmail notifications on or off If you have multiple a
Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! 管理人 @ 8月 20日 10:44pm Gmail(Gメール) 便利なGmailですが、SSL接続(https)で接続しないと簡単にハッキングされてしまうらしいです。 Webmonkey(英語)によると、Gmail Account Hacking Tool (Gmailアカウントハッキングツール)という物がリリースされているとのことです。(追記:詳しくはこちら→スラッシュドット・ジャパン | GmailのセッションIDを自動的に盗むツールが登場) 重要な記録も最近はメールで送ることが多いです。この記事を見た人は今すぐhttps接続に変更しましょう! 実はGmailはひっそりとhttps接続機能を追加しているのです。 https接続への変更方法は次の通りです。 Gmail画面右上の「設定」をクリック 表示される「全般
2008/01/02 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局」の問題点 原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局:ITproの問題点を挙げていきます. 一通り作成しました. 導入部 公開鍵暗号では,「秘密鍵」と「公開鍵」の2つの鍵をペアにして使います。この2つの鍵は,次の2つの性質を持っています。 性質1)秘密鍵から公開鍵は容易に生成できるが,その逆は非常に困難(図1)。 性質1は間違いです. 秘密鍵から公開鍵は容易に生成できることは公開鍵暗号の必要条件ではありません. 公開鍵から容易に秘密鍵が生成できては公開鍵暗号として成り立たないので, この点は問題ありません. 性質2)秘密鍵で暗号化した情報は,そのペアである公開鍵でなければ復号化できない。また公開鍵で暗号化された情報は,そのペアである秘密鍵でなければ復号
HTTPSを使わずに、PHPやASPで暗号化通信を行うAjaxライブラリ「aSSL」が登場した。RC4暗号化アルゴリズムを使うことでSSLと同様の機能を実現する。 aSSLは自動的に送信内容を暗号化しながらサーバとやりとりをする。セッションが切れそうになるたびにキーを生成し、同一のキーは再利用されない。 aSSLライブラリはJavaScriptファイルとサーバーコンポーネントから成り、PHPとASP環境で利用できる。将来的にはPerlやPython、TKLなどでも使用できるようにするという。 ただ現在、脆弱性のバグが見つかり、修正しているようだ。 aSSL - Ajax Secure Service Layer
■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性
Internet Explorer Team Blog We've moved! Find us at the new Microsoft Edge Dev Blog As we announced last week, with the reveal of Microsoft Edge we are archiving the IEBlog. Future... Author: ieblog Date: 05/08/2015 Microsoft Edge is the browser for Windows 10 This morning, Joe Belfiore took to the stage at Build 2015 to share more about the next chapter in... Author: ieblog Date: 04/29/2015 Annou
■ SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 24日のIT Proの記者の眼に「なぜSSL利用をケチるのか」という記事が出ていた。筆者の阿蘇氏には勤務先でWebアプリケーションセキュリティについて取材を受けたことがある。この記事の主張はこうだ。 Webサイトはログイン画面からSSLを使い,利用者はログイン時に鍵マークを確認するのが常識。 阿蘇和人, なぜSSL利用をケチるのか, 日経IT Pro記者の眼, 2005年11月24日 正しい。より正確には「ログイン時」というのは、パスワードを入力する前にということだろう。ただ、その根拠としてこの記事は、フィッシング対策としてサイトが本物かを確かめるためという点だけを挙げているが、その根拠はやや弱い。 SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはならない理由のもうひとつの重大な理由
IE7はβ2でHTTPSプロトコルのデフォルトをSSLv2からより強力なTLSv1に変更する。Microsoftはサイト運営者に対し、SSLv3かTLSv1が使えるよう対応してほしいと呼び掛けている。 Microsoftは次期ブラウザInternet Explorer(IE)7のβ2で、ネットショッピングなどに使われるHTTPS接続のセキュリティ強化を図る。公式ブログで明らかにした。 HTTPSは暗号を使ってインターネットトラフィックを保護するもので、Secure Sockets Layer(SSL)またはTransport Layer Security(TLS)プロトコルが使われている。 IE7ではデフォルトのHTTPSプロトコルを変更し、SSLv2は廃止してより強力なTLSv1プロトコルを採用する。IE6でもユーザーが手動でこの設定を行うことは可能だが、IE7ではSSLv3かTLSv1
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
