元・地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記

OpenSSLに脆弱性(セキュリティホール)のバグ。鍵のマークも信用出来ない

何かと、「インターネットで個人情報を入力する際は鍵のマークに注目しましょう。
という話をしているのですが、どうも、それもヤバいらしいという話を耳にしました。

□ OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難 対応は長期戦か (1/3) - ITmedia ニュース

セキュリティ大丈夫?

>> 続きを読む

「ノラ電波」危険、暗号化されていないWi-FiにつなぐとFacebookが乗っ取られる恐れ

ノラ電波」というのを知っていますか?
セキュリティの設定のされていないWi-Fiのことで、要は外部からつなぎ放題の状態になったWi-Fi基地のことです。
どんな人が接続してくるかわからない上に、通信が暗号化されないため、色々と危険が伴います。 

ノラ電波
昔は逆にセキュアな接続に「鍵」をかけて表現していたのですが、
今はセキュアでない接続に「!(エクスクラメーションマーク)」を付けて表現しています。 
>> 続きを読む

鍵のマークも信用できないかもしれない

ちょっと気になるニュースがあったので単独の記事として扱わせていただきました。

TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに:ニュース - CNET Japan
「SSLがセキュアであることを前提に機能している、多くのソフトウェアアップデートメカニズムはどうなるのだろうか」

新版暗号技術入門 秘密の国のアリス
結城 浩
ソフトバンククリエイティブ
売り上げランキング: 16011
おすすめ度の平均: 5.0
5 暗号セキュリティの概要を知るのにお勧めの一冊
5 暗号関連の本の中で、一番わかりやすい本です
5 初心者にもわかりやすい内容
5 わかりやすく、それでいて原理の詳細までよくわかる
>> 続きを読む

SSLだからって安心できません

うちにも、ベリサインあたりからSSLサーバー証明書を導入しないかといったDMが届くことがある。
DMには「信頼度が高い」だの「厳格な認証プロセス」だのと書かれているが、システム的にはたしかにそうかもしれないが、それを管理する人間に問題があるために、SSLももはや信用できないといった例があるようだ。

SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営 - ITmedia エンタープライズ
詐欺サイトが正規のSSL証明書を使い、正規サイトを装う手口が見つかった(中略)
攻撃側は、SSL証明書を取得したWebサーバを1つ乗っ取れば、そのサーバを使って多数のフィッシング詐欺サイトを運営することが可能になり、情報詐取の成功率も高まる。

鍵開けマニュアル (DATAHOUSE BOOK)鍵開けマニュアル (DATAHOUSE BOOK)
著者:鍵と錠の研究会
販売元:データハウス
発売日:2006-08
おすすめ度:3.0
レビューを見る
>> 続きを読む

さくらインターネットでEC-CUBE #2(SSL対応編)

ものつくりひとショップさくらインターネットでEC-CUBEをSSL対応させた際の作業メモです。
結論から言うと、独自ドメイン「http://shop.plot-factory.net」でのSSL対応は無理でした。
いくつかの方法で単ページでの動作はできたのですが、SSLページと非SSLページとのデータのやり取りがうまくいかず、断念しました。
このあたりはプログラムを改造すれば何とかなると思います。実際成功している方もいるようです。
大阪で働く社長の日記 ? EC-CUBEの共有SSL対応が出来ました
>> 続きを読む

鍵のマークに注目しよう

<モバイルスイカ>1日のチャージ額を4万円に制限 JR東(毎日新聞)
http://headlines.yahoo.co.jp/hl?a=20071128-00000086-mai-soci
http://news.livedoor.com/article/detail/3407454/
約1年で1000万円――モバイルSuicaの不正利用はなぜ起きた?
http://www.itmedia.co.jp/news/articles/0711/09/news033.html
http://news.livedoor.com/article/detail/3381592/
http://www.aivy.co.jp/BLOG_TEST/nagasawa/b/2007/11/11000suica.html
>> 続きを読む




    最新コメント