タグ「ぼちぼち日記」

タグぼちぼち日記

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 53件)

書評プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記

2024/01/05 18 users 書評原著原題献本 Second Edition

はじめに『プロフェッショナルTLS&PKI改題第2版（原題: Bulletproof TLS and PKI Second Edition）』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンと... 続きを読む

FLoCとはなにか - ぼちぼち日記

2021/05/06 485 users FLoC EFF Privacy Sandbox トライアル

1. はじめに Google がChrome/89よりトライアルを開始しているFLoC (Federated Learning of Cohorts)技術に対して、現在多くの批判が集まっています。批判の内容は様々な観点からのものが多いですが、以前より Privacy Sandbox に対して否定的な見解を示してきたEFFの批判「Google Is Testing Its Controversial New Ad... 続きを読む

Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記

2020/03/09 637 users golang インシデント失効落とし穴パク

0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明... 続きを読む

Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記

2020/01/18 52 users 偽造セキュリティアップデート脆弱性 Windows 修正

1. はじめについ先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。その驚きの一つは、... 続きを読む

なぜChromeはURLを殺そうとするのか？ (Chrome Dev Summit 2019) - ぼちぼち日記

2019/11/18 588 users Chrome Chrome Dev Summit URL

今年もChrome開発者の集まりChrome Dev Summit 2019 (CDS) がサンフランシスコで開催されました。今回、私が Chrome Customer Advisory Board (CAB) に選出していただいたこともあり、CDSに初めて参加しました。これは、CDS終了後のCAB meetingで頂いたChrome Dinosaurフィギュアです。ちなみにゲームはできません。 ... 続きを読む

Google Chrome EV表示の終焉 - ぼちぼち日記

2019/08/12 587 users 終焉 Stable Google Chrome アナウンス

1. Chrome でEV証明書の組織名表示がなくなるついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織... 続きを読む

流暢な英語よりも自分らしい表現を！-世界への扉を開く第一歩 - すみくにぼちぼち日記

2019/07/27 16 users ハードル一方英語表現ミク

流暢な英語を話している人を見て、「かっこいいなー」、「自分も同じように話したいなー」と思ったことがある人も多いはず。一方で、「自分には無理かも」や「こんなに覚えられない」など、そのハードルの高さに自信を失ってしまうこともしばしば。そんな時にお勧めしたいのが、自分らしい表現を身につけることです。例... 続きを読む

英語の発音は重要ではない！？ -日本語英語でも情熱で人生は乗り切れる - すみくにぼちぼち日記

2019/07/16 10 users 発音熱意情熱一方英語

発音が上手な人の英語を聞いて、英語上手いなーたら思ったことはありませんか？私も英語の発音が綺麗な人と出会うといつも上手いなーと感心しています。一方で、実際にコミュニケーションをとる上で英語の発音は実は重要ではないのです。重要なのは伝えたい熱意と情熱。情熱をこめてアピールすれば英語の発音は意外と障... 続きを読む

フランス第2の都市-フランスリヨン旅行記(2011/11) - すみくにぼちぼち日記

2019/07/07 9 users ミクリヨン町並み美食一望

フランス第2の都市であるリヨン。美食の町とも知られ、世界遺産にも登録されている町並みが美しい都市です。今回はそんなリヨンの半日観光記を欠いてみたいと思います。町を一望-フルヴィエールの丘町を見守る-フルヴィエール大聖堂悠久の歴史-サンジャン大司教教会まだまだ現役-ローマ劇場テットドール公園おわり... 続きを読む

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

2018/10/18 487 users node.js

1. はじめに最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。この発表の論文や発表資料、デモ動画などもgithubで公開されて... 続きを読む

「SSL/TLS暗号設定ガイドライン第2.0版」を読んで - ぼちぼち日記

2018/05/09 306 users TLS暗号設定ガイドライン SSL https TLS 前回

2018 - 05 - 09 「SSL/TLS暗号設定ガイドライン第2.0版」を読んで 1. はじめに昨日「 SSL/TLS暗号設定ガイドライン第2.0版」が公開されました。前回から約3年経って今回はCRYPTREC暗号技術活用委員会で検討作業が行われたようです。普段、 TLS / HTTPS の記事や発表をしている立場上、これを見逃すわけにはいけません。本文冒頭では、「本ガイド... 続きを読む

RPCに特化したGoogleのセキュリティ通信ALTSとは何か - ぼちぼち日記

2018/01/15 252 users RPC whitepaper プロトコル文書 Google

2018 - 01 - 16 RPCに特化したGoogleのセキュリティ通信ALTSとは何かはじめに昨年、 Google から Google Cloud Platform に関するWhitePaperがいくつか公開されました。その中で Google のサービス内部で使われている新しいALTSというプロトコルを説明した文書「Application Layer Transport Secur... 続きを読む

書評：プロフェッショナルSSL/TLS - ぼちぼち日記

2017/03/17 138 users TLS 書評長文時雨堂プロフェッショナルSSL

2017 - 03 - 17 書評：プロフェッショナルSSL/TLS ごめんなさい、書いてたら長くなってしまいました。長文嫌いな方は避けて下さい。 1. はじめに。日本語翻訳版刊行によせて、昨年10月、Vさんから「 Bulletproof SSL and TLS 翻訳本のレビューします？時雨堂が出資してる出版会社が翻訳権を勝ち取ったのです。」とお誘いを受けたのが、そもそもの始まりでした。「... 続きを読む

OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記

2017/02/20 127 users OpenSSL cast 変数落とし穴 Mac

2017 - 02 - 20 OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 TLS 0. 短いまとめ OpenSSL-1.1.0dに脆弱性 (CVE-2017-3733)が見つかり、Encrypt-Then- Mac と renegotiation を組み合わせて crashさせることができました。この脆弱性は、仕様の準拠不足や不適切な変数の ca... 続きを読む

新しいTLSの暗号方式ChaCha20-Poly1305 - ぼちぼち日記

2016/04/04 251 users DISCLAIMER 本エントリ本来解説標準化

Disclaimer 本エントリは、近々IETFで標準化される予定の新しいTLSの暗号方式 ChaCha20-Poly1305 について解説したものです。本来なら、新しい暗号方式を紹介するいうことは、その暗号の安全性についてもちゃんと解説なのかもしれません。しかし一般的に暗号の安全性評価はとても難しく、専門家でない者が暗号の安全性について軽々しく書くわけにはいかないなとも思いました。いろいろ悩み... 続きを読む

ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記

2016/01/13 313 users TLS

SKE48聖地巡礼旅 - ぼちぼち日記

2015/10/06 6 users YouTube 歌碑絵馬 SKE 羽豆岬

2015-10-06 SKE48聖地巡礼旅お出かけ記録にほんブログ村 SKE48聖地巡礼旅として羽豆岬にいってきました。羽豆岬 - YouTube 歌碑もできてる割に、地図が置いてなかったりします>_< ファンの為に地図や場所のアピールがあればいいのに。羽豆神社、絵馬にSKEの〇〇さんが、センターとれますように！とか、卒業したメンバーがこれからも活躍できますように。とかばかりで、ファンって... 続きを読む

パンドラの箱？TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記

2015/08/21 84 users パンドラ落とし穴

TLS 1. 初参加のセキュリティキャンプ先週ですが、講師としてセキュリティキャンプに初めて参加しました。担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。あ... 続きを読む

HTTP/2時代のバックエンド通信検討メモ - ぼちぼち日記

2015/07/16 104 users http

1. はじめに、今朝、こんな返事を元に kazuho さんとIPsec/TLS等バックエンド通信について議論する機会を得ました。 @kazuho @Jxck_ DC内でsrcipの偽造、乗っ取り、新設ができる攻撃レベルならノード自体がやれているわけで、IPsecなら安全とは想定しにくいですね。DC内TLS化は実際にNSAが行ったDC内通信のTAPに対する対策で機密データ通信に限定した漏洩を防ぐもの... 続きを読む

OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

2015/07/10 340 users OpenSSL advisory iojs 長文脆弱性

TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/No... 続きを読む

io.jsのTechnical Committeeに推薦されました - ぼちぼち日記

2015/04/24 90 users io.js

io.js 1. はじめに「こんな私がXXXに!?」の宣伝文句ではありませんが、こんな私がio.jsプロジェクトのTechnical Commitee(TC)に推薦されました。 Nominating Shigeki Ohtsu @shigeki to the TC The @official_iojs TC just added @Fishrock123 to its ranks and brou... 続きを読む

華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記

2015/03/04 404 users 因数分解

TLS, OpenSSL 1. はじめにちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。ひぇー、またInriaとMSRのチームの脆弱性情報の公開か。Freakは既にOpenSSLで修正済だけど、SKIPは初耳や。 / “State Machine AttACKs against TLS (SMACK TLS)” URL2015-03-04 09:20:5... 続きを読む

ES6時代のGoogle的Good Parts: V8のstrong modeを試す - ぼちぼち日記

2015/02/19 76 users asm.js アナウンス ES6時代試験実装 TC39

JavaScript, V8 1. 新しいGoogleのV8実験プロジェクト巷ではIEの asm.js サポートのアナウンスが話題を集めていますが、実は先月末のTC39の会合でGoogleが今年新しくV8に2つのJavaScript機能の試験実装を進めていることがプレゼンされていました（すっかり見落としてた）。 Experimental New Directions for JavaScript,... 続きを読む

io.js-v1.0.0のリリースによせて - ぼちぼち日記

2015/01/15 87 users リリース io.js ライブラリアップデート node

Node.js, io.js 1. 祝 io.js-v1.0.0/1.0.1 のリリースNodeやJSの情報にアンテナを張っている人なら知っているとは思いますが、昨日無事「io.js」がリリースされました。リリース直前のバグ修正の追い込みやライブラリアップデートのごたごたは、かつてのNodeのリリースそのままでした。今日のリリースを予言していたわけではないですが、実は昨年の8月初旬に、 @hn... 続きを読む

Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 - ぼちぼち日記

2014/12/22 87 users OpenSSL 言い訳 node.js 経緯目線

Node.js, OpenSSL既に12月23日ですが、このエントリーは、Node.js Advent Calendar 2014の13日目のエントリーです。いや私が書くの遅れたわけじゃないですけど…(言い訳)、ちょうどタイムリーなネタがあるので、先日リリースされたNode-v0.10.34で発生した（現在も継続している）問題について携わった経緯を自分の目線で書いてみます。 1. Node-v0... 続きを読む

(1 - 25 / 53件)

次の25件 »