はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ ぼちぼち日記

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 25 / 51件)

書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記

2024/01/05 このエントリーをはてなブックマークに追加 18 users Instapaper Pocket Tweet Facebook Share Evernote Clip 書評 原著 原題 献本 Second Edition

はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンと... 続きを読む

FLoCとはなにか - ぼちぼち日記

2021/05/06 このエントリーをはてなブックマークに追加 485 users Instapaper Pocket Tweet Facebook Share Evernote Clip FLoC EFF Privacy Sandbox トライアル

1. はじめに Google がChrome/89よりトライアルを開始しているFLoC (Federated Learning of Cohorts)技術に対して、現在多くの批判が集まっています。 批判の内容は様々な観点からのものが多いですが、以前より Privacy Sandbox に対して否定的な見解を示してきたEFFの批判「Google Is Testing Its Controversial New Ad... 続きを読む

Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記

2020/03/09 このエントリーをはてなブックマークに追加 637 users Instapaper Pocket Tweet Facebook Share Evernote Clip golang インシデント 失効 落とし穴 パク

0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明... 続きを読む

Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記

2020/01/18 このエントリーをはてなブックマークに追加 52 users Instapaper Pocket Tweet Facebook Share Evernote Clip 偽造 セキュリティアップデート 脆弱性 Windows 修正

1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、... 続きを読む

なぜChromeはURLを殺そうとするのか? (Chrome Dev Summit 2019) - ぼちぼち日記

2019/11/18 このエントリーをはてなブックマークに追加 588 users Instapaper Pocket Tweet Facebook Share Evernote Clip Chrome Chrome Dev Summit URL

今年もChrome開発者の集まりChrome Dev Summit 2019 (CDS) がサンフランシスコで開催されました。 今回、私が Chrome Customer Advisory Board (CAB) に選出していただいたこともあり、CDSに初めて参加しました。 これは、CDS終了後のCAB meetingで頂いたChrome Dinosaurフィギュアです。ちなみにゲームはできません。 ... 続きを読む

Google Chrome EV表示の終焉 - ぼちぼち日記

2019/08/12 このエントリーをはてなブックマークに追加 587 users Instapaper Pocket Tweet Facebook Share Evernote Clip 終焉 Stable Google Chrome アナウンス

1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織... 続きを読む

流暢な英語よりも自分らしい表現を!-世界への扉を開く第一歩 - すみくにぼちぼち日記

2019/07/27 このエントリーをはてなブックマークに追加 16 users Instapaper Pocket Tweet Facebook Share Evernote Clip ハードル 一方 英語 表現 ミク

流暢な英語を話している人を見て、「かっこいいなー」、「自分も同じように話したいなー」と思ったことがある人も多いはず。一方で、「自分には無理かも」や「こんなに覚えられない」など、そのハードルの高さに自信を失ってしまうこともしばしば。そんな時にお勧めしたいのが、自分らしい表現を身につけることです。例... 続きを読む

英語の発音は重要ではない!? -日本語英語でも情熱で人生は乗り切れる - すみくにぼちぼち日記

2019/07/16 このエントリーをはてなブックマークに追加 10 users Instapaper Pocket Tweet Facebook Share Evernote Clip 発音 熱意 情熱 一方 英語

発音が上手な人の英語を聞いて、英語上手いなーたら思ったことはありませんか?私も英語の発音が綺麗な人と出会うといつも上手いなーと感心しています。一方で、実際にコミュニケーションをとる上で英語の発音は実は重要ではないのです。重要なのは伝えたい熱意と情熱。情熱をこめてアピールすれば英語の発音は意外と障... 続きを読む

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

2018/10/18 このエントリーをはてなブックマークに追加 487 users Instapaper Pocket Tweet Facebook Share Evernote Clip node.js

1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されて... 続きを読む

「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで - ぼちぼち日記

2018/05/09 このエントリーをはてなブックマークに追加 306 users Instapaper Pocket Tweet Facebook Share Evernote Clip TLS暗号設定ガイドライン SSL https TLS 前回

2018 - 05 - 09 「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで 1. はじめに 昨日「 SSL/TLS暗号設定ガイドライン 第2.0版 」が公開されました。 前回から約3年経って今回はCRYPTREC暗号技術活用委員会で検討作業が行われたようです。 普段、 TLS / HTTPS の記事や発表をしている立場上、これを見逃すわけにはいけません。 本文冒頭では、 「本 ガイド... 続きを読む

RPCに特化したGoogleのセキュリティ通信ALTSとは何か - ぼちぼち日記

2018/01/15 このエントリーをはてなブックマークに追加 252 users Instapaper Pocket Tweet Facebook Share Evernote Clip RPC whitepaper プロトコル 文書 Google

2018 - 01 - 16 RPCに特化したGoogleのセキュリティ通信ALTSとは何か はじめに 昨年、 Google から Google Cloud Platform に関するWhitePaperがいくつか公開されました。その中で Google のサービス内部で使われている新しいALTSという プロトコル を説明した文書 「Application Layer Transport Secur... 続きを読む

書評:プロフェッショナルSSL/TLS - ぼちぼち日記

2017/03/17 このエントリーをはてなブックマークに追加 138 users Instapaper Pocket Tweet Facebook Share Evernote Clip TLS 書評 長文 時雨堂 プロフェッショナルSSL

2017 - 03 - 17 書評:プロフェッショナルSSL/TLS ごめんなさい、書いてたら長くなってしまいました。長文嫌いな方は避けて下さい。 1. はじめに。日本語翻訳版刊行によせて、 昨年10月、Vさんから 「 Bulletproof SSL and TLS 翻訳本のレビューします?時雨堂が出資してる出版会社が翻訳権を勝ち取ったのです。」 とお誘いを受けたのが、そもそもの始まりでした。 「... 続きを読む

OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記

2017/02/20 このエントリーをはてなブックマークに追加 127 users Instapaper Pocket Tweet Facebook Share Evernote Clip OpenSSL cast 変数 落とし穴 Mac

2017 - 02 - 20 OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 TLS 0. 短いまとめ OpenSSL-1.1.0dに 脆弱性 (CVE-2017-3733)が見つかり、Encrypt-Then- Mac と renegotiation を組み合わせて crashさせることができました。 この 脆弱性 は、仕様の準拠不足や不適切な変数の ca... 続きを読む

新しいTLSの暗号方式ChaCha20-Poly1305 - ぼちぼち日記

2016/04/04 このエントリーをはてなブックマークに追加 251 users Instapaper Pocket Tweet Facebook Share Evernote Clip DISCLAIMER 本エントリ 本来 解説 標準化

Disclaimer 本エントリは、近々IETFで標準化される予定の新しいTLSの暗号方式 ChaCha20-Poly1305 について解説したものです。 本来なら、新しい暗号方式を紹介するいうことは、その暗号の安全性についてもちゃんと解説なのかもしれません。しかし一般的に暗号の安全性評価はとても難しく、専門家でない者が暗号の安全性について軽々しく書くわけにはいかないなとも思いました。いろいろ悩み... 続きを読む

ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記

2016/01/13 このエントリーをはてなブックマークに追加 313 users Instapaper Pocket Tweet Facebook Share Evernote Clip TLS ハッシュ衝突

続きを読む

パンドラの箱?TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記

2015/08/21 このエントリーをはてなブックマークに追加 84 users Instapaper Pocket Tweet Facebook Share Evernote Clip パンドラ 落とし穴

TLS 1. 初参加のセキュリティキャンプ先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。あ... 続きを読む

HTTP/2時代のバックエンド通信検討メモ - ぼちぼち日記

2015/07/16 このエントリーをはてなブックマークに追加 104 users Instapaper Pocket Tweet Facebook Share Evernote Clip http

1. はじめに、今朝、こんな返事を元に kazuho さんとIPsec/TLS等バックエンド通信について議論する機会を得ました。 @kazuho @Jxck_ DC内でsrcipの偽造、乗っ取り、新設ができる攻撃レベルならノード自体がやれているわけで、IPsecなら安全とは想定しにくいですね。DC内TLS化は実際にNSAが行ったDC内通信のTAPに対する対策で機密データ通信に限定した漏洩を防ぐもの... 続きを読む

OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

2015/07/10 このエントリーをはてなブックマークに追加 340 users Instapaper Pocket Tweet Facebook Share Evernote Clip OpenSSL advisory iojs 長文 脆弱性

TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/No... 続きを読む

io.jsのTechnical Committeeに推薦されました - ぼちぼち日記

2015/04/24 このエントリーをはてなブックマークに追加 90 users Instapaper Pocket Tweet Facebook Share Evernote Clip io.js

io.js 1. はじめに「こんな私がXXXに!?」の宣伝文句ではありませんが、こんな私がio.jsプロジェクトのTechnical Commitee(TC)に推薦されました。 Nominating Shigeki Ohtsu @shigeki to the TC The @official_iojs TC just added @Fishrock123 to its ranks and brou... 続きを読む

華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記

2015/03/04 このエントリーをはてなブックマークに追加 404 users Instapaper Pocket Tweet Facebook Share Evernote Clip 因数分解

TLS, OpenSSL 1. はじめにちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 ひぇー、またInriaとMSRのチームの脆弱性情報の公開か。Freakは既にOpenSSLで修正済だけど、SKIPは初耳や。 / “State Machine AttACKs against TLS (SMACK TLS)” URL2015-03-04 09:20:5... 続きを読む

ES6時代のGoogle的Good Parts: V8のstrong modeを試す - ぼちぼち日記

2015/02/19 このエントリーをはてなブックマークに追加 76 users Instapaper Pocket Tweet Facebook Share Evernote Clip asm.js アナウンス ES6時代 試験実装 TC39

JavaScript, V8 1. 新しいGoogleのV8実験プロジェクト巷ではIEの asm.js サポートのアナウンスが話題を集めていますが、実は先月末のTC39の会合でGoogleが今年新しくV8に2つのJavaScript機能の試験実装を進めていることがプレゼンされていました(すっかり見落としてた)。 Experimental New Directions for JavaScript,... 続きを読む

io.js-v1.0.0のリリースによせて - ぼちぼち日記

2015/01/15 このエントリーをはてなブックマークに追加 87 users Instapaper Pocket Tweet Facebook Share Evernote Clip リリース io.js ライブラリアップデート node

Node.js, io.js 1. 祝 io.js-v1.0.0/1.0.1 のリリースNodeやJSの情報にアンテナを張っている人なら知っているとは思いますが、昨日無事「io.js」がリリースされました。 リリース直前のバグ修正の追い込みやライブラリアップデートのごたごたは、かつてのNodeのリリースそのままでした。 今日のリリースを予言していたわけではないですが、実は昨年の8月初旬に、 @hn... 続きを読む

Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 - ぼちぼち日記

2014/12/22 このエントリーをはてなブックマークに追加 87 users Instapaper Pocket Tweet Facebook Share Evernote Clip OpenSSL 言い訳 node.js 経緯 目線

Node.js, OpenSSL既に12月23日ですが、このエントリーは、Node.js Advent Calendar 2014の13日目のエントリーです。 いや私が書くの遅れたわけじゃないですけど…(言い訳)、ちょうどタイムリーなネタがあるので、先日リリースされたNode-v0.10.34で発生した(現在も継続している)問題について携わった経緯を自分の目線で書いてみます。 1. Node-v0... 続きを読む

2014-12-04 - ぼちぼち日記

2014/12/21 このエントリーをはてなブックマークに追加 112 users Instapaper Pocket Tweet Facebook Share Evernote Clip 2014-12-04

http2この記事は、HTTP2 Advent Calendar 2014の6日目のエントリーです(2日前にフライイング公開してます)。 1. はじめに、HTTP/2仕様の標準化作業は、WGラストコールも終わり、今後IESGレビューやIETFラストコール等の大詰めの段階に来ました。来年のRFC化に向けてまだまだ予断を許しませんが、プロトコル設計自体の作業はほぼ完了し、後はすんなり行くことを祈るばか... 続きを読む

不正なSSL証明書を見破るPublic Key Pinningを試す - ぼちぼち日記

2014/09/02 このエントリーをはてなブックマークに追加 128 users Instapaper Pocket Tweet Facebook Share Evernote Clip Public Key Pinning SSL証明書 TLS

TLS, WebSec先日のエントリー 「TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説)」で予告した通り、今回不正なSSL証明書を見破る Public Key Pinningの機能について解説します。 Public Key Pinning は2種類の方法があります。あらかじめブラウザーのソースコードに公開鍵情報を埋め込む Pre-loaded ... 続きを読む

 
(1 - 25 / 51件)