[B! security][https] three_beeのブックマーク

three_bee id:three_bee

securityとhttpsに関するthree_beeのブックマーク (11)

Chrome が非 HTTPS サイトに「保護されていません」と表示、2018 年 7 月下旬開始予定
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。詳しくはこちら
three_bee 2018/07/11
Chrome

HTTPS

サイト

トレンド

企業

google

security

web
リンク
Web サービスの完全 HTTPS 化 - クックパッド開発者ブログ
インフラストラクチャー部長の星 (@kani_b) です。 2017年1月5日をもって、クックパッドにおける全ページで HTTPS が使われるようになりました。完全 HTTPS 化をするにあたり、その理由や具体的な進め方について紹介します。以前 SRE Tech Talks #2 にて一部発表した内容も含みますので、ご興味のある方はあわせてスライドもご覧ください。完全 HTTPS 化に踏み切った理由以前のクックパッドは、ログインや登録情報の参照など、いわゆる個人情報や認証情報を扱う箇所のみに HTTPS が使われていました。このように﹁必要な箇所にのみ HTTPS を使う﹂構成は、ある程度歴史のある Web サービスにおいてよく使われている構成です。この状態から、完全 HTTPS 化に踏み切った理由を説明します。サービスをよりセキュアにするため HTTPS の利用を考えるに
three_bee 2017/04/20
cookpad

クックパッド

サービス

あとで読む

https

Webサービス

web

SSL

セキュリティ

security
リンク
Google Public DNS over HTTPS を試す | IIJ Engineers Blog
︻2018/11/16 追記︼本記事は、2016 年4月に GooglePublicDNS サーバに実装された、実験的な DNS over HTTPS プロトコルについて紹介しています。DNS over HTTPS プロトコルはその後IETF の doh ワーキンググループにて標準化が進められ、2年半後の 2018 年10月に RFC8484 として出版されました。本記事で紹介したプロトコルは RFC8484 に規定されたプロトコルとはいくつもの点で異なっていることにご注意ください。 Google Inc. が公開 DNS サーバを運営していることはご存知でしょうか?GooglePublicDNS と呼ばれるこの公開 DNS サーバは、”8.8.8.8″ という特徴的なIPアドレスで全世界のインターネットユーザに対して無料の DNS サーバ(フルレゾルバ)を提供し
three_bee 2016/08/16
DNS

あとで読む

google

https

network

security

ネットワーク

GooglePublicDNS

http
リンク
HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp
なんですかこれは！ New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？ Web Proxy Autodiscovery ですって？チョットニホンゴデオネガイシマスってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connectとか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
three_bee 2016/07/28
code

client

.jp

あとで読む

セキュリティ

oauth

security

https

OpenID

技術
リンク
HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita
今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ︵Web的視点︶で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近いものです。重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てるならば嬉しいです。 TL;DR HTTPSはPWAppなどWebにとって必須。しかし、パフォーマンス悪化する
three_bee 2016/07/13
Chrome

https

あとで読む

security

SSL

google

セキュリティ

Web

http

tls
リンク
［ACM］AWSの無料SSL証明書サービスCertificate Manager について調べてみた | DevelopersIO
はじめに AWSチームのすずきです。無料で使えるSSL証明書発行サービスとしてリリースされたAWSのACM、テスト環境での動作や、公式ページのドキュメント、FAQなどの確認を通じて確認できた仕様などについて、紹介させて頂きます。 ACMで出来ること SSL証明書の発行証明書の仕様鍵の暗号化方式はRSA、鍵長2048ビット、SHA-256 証明書の認証局︵CA︶はAmazonになりますルート証明はStarfield Services︵Go Daddy系列、業界シェア上位︶です。料金証明書の発行費用は無料です。証明書を利用するELB、CloudFrontの実費のみで利用です。対応環境99％のOS、ブラウザに対応するとされています。 Windows XP SP3、Java6以降の対応OSベンダのサポート対象となる現行OS、ブラウザ環境であればまず問題なく利用出来る事が
three_bee 2016/01/27
CloudFront

aws

Amazon

apn

あとで読む

ssl

https

証明書

security

acm
リンク
【セキュリティニュース】「Wget」に脆弱性、FTPファイル取得でローカルファイル操作のおそれ（1ページ目 / 全1ページ）：Security NEXT
Linuxディストリビューションなどで広く採用されているファイル取得ツール「Wget」に、任意のローカルファイルを操作される脆弱性「CVE-2014-4877」が含まれていることがわかった。修正版が公開されている。「Wget」は、「HTTP」や「HTTPS」「FTP」といったプロトコルに対応しており、ファイルをネットワーク経由でダウンロードするソフトウェア。GNUが提供している。同ソフトにおいてシンボリックリンクの取り扱いに脆弱性が判明したもの。FTPサーバから再帰的にファイルをダウンロードする際、細工されたシンボリックリンクがあると、任意のファイルが作成されたり、上書きされるおそれがある。修正版として「同1.16」が公開されている。また、初期状態でローカル側にシンボリックリンクを作成しない「retr-symlinksオプション」が有効化されているという。（Security NEX
three_bee 2014/10/30
ftp

セキュリティ

脆弱性

security

Wget

Linux

https

GNU

あとで読む

HTTP
リンク
HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めようなど10+4記事 | 海外&国内SEO情報ウォッチ
HSTS︵HTTP Strict Transport Security︶という仕組みがある。簡単にいうと、次のような仕組みだ。﹁このサイトにはHTTPではなくHTTPSで必ず接続するように﹂と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある︵特に無線LANなどの環境で︶。これを防ぐのにHSTSを利用できる。グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、﹁サイトでHSTSを有効にするように﹂と指示している。ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
three_bee 2014/08/22
SEO

https

情報

記事

海外

web

国内

セキュリティ

Web担当者Forum

Web担当者
リンク
sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
ものすごく遅いレポートですが、先日、ゆるふわ勉強会ことさしみjpささみjpの#ssmjp 2014/06 に参加させて頂きました。この中で、@togakushiさんの発表﹁OpenSSH User EnumerationTime-Based Attack と Python-paramiko﹂が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、存在するユーザの場合は数十秒存在しないユーザの場合は数秒で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
three_bee 2014/06/24
Config

ssh

セキュリティ

security

OpenSSH

https

認証

インフラ

python
リンク
全てのWEBサービスでチェックすべきセキュリティ項目
WEBサービスにおけるセキュリティ対策の基礎近年WEBサービスの脆弱性が騒がれておりますが、果たしてあなたが運用しているサイトのセキュリティは大丈夫でしょうか？以下、チェックしておくべきセキュリティ項目をあげました。 SSL証明書の利用ユーザのプライベートな情報を送信してもらいサーバに保存するようなサービスではSSL認証は必須の機能と言えるでしょう。SSL認証を行っていないと、大切なユーザの情報が外部の悪いユーザに見られてしまう可能性があります。 ※ちなみにGozal-mediaではプライベートな情報のやり取りは行っていないためhttpで通信を行っています。【確認方法】・ユーザ情報を送受信するページのURLが「https」から始まっている事を確認・「https」のページにアクセスした際に「セキュリティ証明書が信頼できない」という用な表示が出てこない事を確認【導入方法】導入
three_bee 2014/05/06
HTTPS

セキュリティ

WEBサービス

security

Web制作

web

IT

対策

ブラウザ

scraps
リンク
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性﹁Heartbleed﹂が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!!という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を﹁ほどく﹂のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。前提条件とりあえず以下のような感じの検証環境で試しました。 IPアドレス説明ホストO
three_bee 2014/04/14
Apache

CentOS

HTTPS

SSL

セキュリティ

security

network

wireshark

OpenSSL

TIPS
リンク
1