タグ ぼちぼち日記
人気順 5 users 50 users 100 users 500 users 1000 users書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンと... 続きを読む
FLoCとはなにか - ぼちぼち日記
1. はじめに Google がChrome/89よりトライアルを開始しているFLoC (Federated Learning of Cohorts)技術に対して、現在多くの批判が集まっています。 批判の内容は様々な観点からのものが多いですが、以前より Privacy Sandbox に対して否定的な見解を示してきたEFFの批判「Google Is Testing Its Controversial New Ad... 続きを読む
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明... 続きを読む
Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記
1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、... 続きを読む
なぜChromeはURLを殺そうとするのか? (Chrome Dev Summit 2019) - ぼちぼち日記
今年もChrome開発者の集まりChrome Dev Summit 2019 (CDS) がサンフランシスコで開催されました。 今回、私が Chrome Customer Advisory Board (CAB) に選出していただいたこともあり、CDSに初めて参加しました。 これは、CDS終了後のCAB meetingで頂いたChrome Dinosaurフィギュアです。ちなみにゲームはできません。 ... 続きを読む
Google Chrome EV表示の終焉 - ぼちぼち日記
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織... 続きを読む
流暢な英語よりも自分らしい表現を!-世界への扉を開く第一歩 - すみくにぼちぼち日記
流暢な英語を話している人を見て、「かっこいいなー」、「自分も同じように話したいなー」と思ったことがある人も多いはず。一方で、「自分には無理かも」や「こんなに覚えられない」など、そのハードルの高さに自信を失ってしまうこともしばしば。そんな時にお勧めしたいのが、自分らしい表現を身につけることです。例... 続きを読む
英語の発音は重要ではない!? -日本語英語でも情熱で人生は乗り切れる - すみくにぼちぼち日記
発音が上手な人の英語を聞いて、英語上手いなーたら思ったことはありませんか?私も英語の発音が綺麗な人と出会うといつも上手いなーと感心しています。一方で、実際にコミュニケーションをとる上で英語の発音は実は重要ではないのです。重要なのは伝えたい熱意と情熱。情熱をこめてアピールすれば英語の発音は意外と障... 続きを読む
Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されて... 続きを読む
「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで - ぼちぼち日記
2018 - 05 - 09 「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで 1. はじめに 昨日「 SSL/TLS暗号設定ガイドライン 第2.0版 」が公開されました。 前回から約3年経って今回はCRYPTREC暗号技術活用委員会で検討作業が行われたようです。 普段、 TLS / HTTPS の記事や発表をしている立場上、これを見逃すわけにはいけません。 本文冒頭では、 「本 ガイド... 続きを読む
RPCに特化したGoogleのセキュリティ通信ALTSとは何か - ぼちぼち日記
2018 - 01 - 16 RPCに特化したGoogleのセキュリティ通信ALTSとは何か はじめに 昨年、 Google から Google Cloud Platform に関するWhitePaperがいくつか公開されました。その中で Google のサービス内部で使われている新しいALTSという プロトコル を説明した文書 「Application Layer Transport Secur... 続きを読む
書評:プロフェッショナルSSL/TLS - ぼちぼち日記
2017 - 03 - 17 書評:プロフェッショナルSSL/TLS ごめんなさい、書いてたら長くなってしまいました。長文嫌いな方は避けて下さい。 1. はじめに。日本語翻訳版刊行によせて、 昨年10月、Vさんから 「 Bulletproof SSL and TLS 翻訳本のレビューします?時雨堂が出資してる出版会社が翻訳権を勝ち取ったのです。」 とお誘いを受けたのが、そもそもの始まりでした。 「... 続きを読む
OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記
2017 - 02 - 20 OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 TLS 0. 短いまとめ OpenSSL-1.1.0dに 脆弱性 (CVE-2017-3733)が見つかり、Encrypt-Then- Mac と renegotiation を組み合わせて crashさせることができました。 この 脆弱性 は、仕様の準拠不足や不適切な変数の ca... 続きを読む
新しいTLSの暗号方式ChaCha20-Poly1305 - ぼちぼち日記
Disclaimer 本エントリは、近々IETFで標準化される予定の新しいTLSの暗号方式 ChaCha20-Poly1305 について解説したものです。 本来なら、新しい暗号方式を紹介するいうことは、その暗号の安全性についてもちゃんと解説なのかもしれません。しかし一般的に暗号の安全性評価はとても難しく、専門家でない者が暗号の安全性について軽々しく書くわけにはいかないなとも思いました。いろいろ悩み... 続きを読む
ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記
パンドラの箱?TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記
TLS 1. 初参加のセキュリティキャンプ先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。あ... 続きを読む
HTTP/2時代のバックエンド通信検討メモ - ぼちぼち日記
1. はじめに、今朝、こんな返事を元に kazuho さんとIPsec/TLS等バックエンド通信について議論する機会を得ました。 @kazuho @Jxck_ DC内でsrcipの偽造、乗っ取り、新設ができる攻撃レベルならノード自体がやれているわけで、IPsecなら安全とは想定しにくいですね。DC内TLS化は実際にNSAが行ったDC内通信のTAPに対する対策で機密データ通信に限定した漏洩を防ぐもの... 続きを読む
OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/No... 続きを読む
io.jsのTechnical Committeeに推薦されました - ぼちぼち日記
io.js 1. はじめに「こんな私がXXXに!?」の宣伝文句ではありませんが、こんな私がio.jsプロジェクトのTechnical Commitee(TC)に推薦されました。 Nominating Shigeki Ohtsu @shigeki to the TC The @official_iojs TC just added @Fishrock123 to its ranks and brou... 続きを読む
華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
TLS, OpenSSL 1. はじめにちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 ひぇー、またInriaとMSRのチームの脆弱性情報の公開か。Freakは既にOpenSSLで修正済だけど、SKIPは初耳や。 / “State Machine AttACKs against TLS (SMACK TLS)” URL2015-03-04 09:20:5... 続きを読む
ES6時代のGoogle的Good Parts: V8のstrong modeを試す - ぼちぼち日記
JavaScript, V8 1. 新しいGoogleのV8実験プロジェクト巷ではIEの asm.js サポートのアナウンスが話題を集めていますが、実は先月末のTC39の会合でGoogleが今年新しくV8に2つのJavaScript機能の試験実装を進めていることがプレゼンされていました(すっかり見落としてた)。 Experimental New Directions for JavaScript,... 続きを読む
io.js-v1.0.0のリリースによせて - ぼちぼち日記
Node.js, io.js 1. 祝 io.js-v1.0.0/1.0.1 のリリースNodeやJSの情報にアンテナを張っている人なら知っているとは思いますが、昨日無事「io.js」がリリースされました。 リリース直前のバグ修正の追い込みやライブラリアップデートのごたごたは、かつてのNodeのリリースそのままでした。 今日のリリースを予言していたわけではないですが、実は昨年の8月初旬に、 @hn... 続きを読む
Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 - ぼちぼち日記
Node.js, OpenSSL既に12月23日ですが、このエントリーは、Node.js Advent Calendar 2014の13日目のエントリーです。 いや私が書くの遅れたわけじゃないですけど…(言い訳)、ちょうどタイムリーなネタがあるので、先日リリースされたNode-v0.10.34で発生した(現在も継続している)問題について携わった経緯を自分の目線で書いてみます。 1. Node-v0... 続きを読む
2014-12-04 - ぼちぼち日記
http2この記事は、HTTP2 Advent Calendar 2014の6日目のエントリーです(2日前にフライイング公開してます)。 1. はじめに、HTTP/2仕様の標準化作業は、WGラストコールも終わり、今後IESGレビューやIETFラストコール等の大詰めの段階に来ました。来年のRFC化に向けてまだまだ予断を許しませんが、プロトコル設計自体の作業はほぼ完了し、後はすんなり行くことを祈るばか... 続きを読む
不正なSSL証明書を見破るPublic Key Pinningを試す - ぼちぼち日記
TLS, WebSec先日のエントリー 「TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説)」で予告した通り、今回不正なSSL証明書を見破る Public Key Pinningの機能について解説します。 Public Key Pinning は2種類の方法があります。あらかじめブラウザーのソースコードに公開鍵情報を埋め込む Pre-loaded ... 続きを読む