FLoCとはなにか - ぼちぼち日記

2021/05/06 485 users FLoC EFF Privacy Sandbox トライアル

1. はじめに Google がChrome/89よりトライアルを開始しているFLoC (Federated Learning of Cohorts)技術に対して、現在多くの批判が集まっています。 批判の内容は様々な観点からのものが多いですが、以前より Privacy Sandbox に対して否定的な見解を示してきたEFFの批判「Google Is Testing Its Controversial New Ad... 続きを読む

Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記

2020/03/09 637 users golang インシデント 失効 落とし穴 パク

0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明... 続きを読む

なぜChromeはURLを殺そうとするのか？ (Chrome Dev Summit 2019) - ぼちぼち日記

2019/11/18 588 users Chrome Chrome Dev Summit URL

今年もChrome開発者の集まりChrome Dev Summit 2019 (CDS) がサンフランシスコで開催されました。 今回、私が Chrome Customer Advisory Board (CAB) に選出していただいたこともあり、CDSに初めて参加しました。 これは、CDS終了後のCAB meetingで頂いたChrome Dinosaurフィギュアです。ちなみにゲームはできません。 ... 続きを読む

Google Chrome EV表示の終焉 - ぼちぼち日記

2019/08/12 587 users 終焉 Stable Google Chrome アナウンス

1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織... 続きを読む

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

2018/10/18 487 users node.js

1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されて... 続きを読む

「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで - ぼちぼち日記

2018/05/09 306 users TLS暗号設定ガイドライン SSL https TLS 前回

2018 - 05 - 09 「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで 1. はじめに 昨日「 SSL/TLS暗号設定ガイドライン 第2.0版 」が公開されました。 前回から約3年経って今回はCRYPTREC暗号技術活用委員会で検討作業が行われたようです。 普段、 TLS / HTTPS の記事や発表をしている立場上、これを見逃すわけにはいけません。 本文冒頭では、 「本 ガイド... 続きを読む

RPCに特化したGoogleのセキュリティ通信ALTSとは何か - ぼちぼち日記

2018/01/15 252 users RPC whitepaper プロトコル 文書 Google

2018 - 01 - 16 RPCに特化したGoogleのセキュリティ通信ALTSとは何か はじめに 昨年、 Google から Google Cloud Platform に関するWhitePaperがいくつか公開されました。その中で Google のサービス内部で使われている新しいALTSという プロトコル を説明した文書 「Application Layer Transport Secur... 続きを読む

書評：プロフェッショナルSSL/TLS - ぼちぼち日記

2017/03/17 138 users TLS 書評 長文 時雨堂 プロフェッショナルSSL

2017 - 03 - 17 書評：プロフェッショナルSSL/TLS ごめんなさい、書いてたら長くなってしまいました。長文嫌いな方は避けて下さい。 1. はじめに。日本語翻訳版刊行によせて、 昨年10月、Vさんから 「 Bulletproof SSL and TLS 翻訳本のレビューします？時雨堂が出資してる出版会社が翻訳権を勝ち取ったのです。」 とお誘いを受けたのが、そもそもの始まりでした。 「... 続きを読む

OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記

2017/02/20 127 users OpenSSL cast 変数 落とし穴 Mac

2017 - 02 - 20 OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 TLS 0. 短いまとめ OpenSSL-1.1.0dに 脆弱性 (CVE-2017-3733)が見つかり、Encrypt-Then- Mac と renegotiation を組み合わせて crashさせることができました。 この 脆弱性 は、仕様の準拠不足や不適切な変数の ca... 続きを読む

新しいTLSの暗号方式ChaCha20-Poly1305 - ぼちぼち日記

2016/04/04 251 users DISCLAIMER 本エントリ 本来 解説 標準化

Disclaimer 本エントリは、近々IETFで標準化される予定の新しいTLSの暗号方式 ChaCha20-Poly1305 について解説したものです。 本来なら、新しい暗号方式を紹介するいうことは、その暗号の安全性についてもちゃんと解説なのかもしれません。しかし一般的に暗号の安全性評価はとても難しく、専門家でない者が暗号の安全性について軽々しく書くわけにはいかないなとも思いました。いろいろ悩み... 続きを読む

ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記

2016/01/13 313 users TLS

続きを読む

HTTP/2時代のバックエンド通信検討メモ - ぼちぼち日記

2015/07/16 104 users http

1. はじめに、今朝、こんな返事を元に kazuho さんとIPsec/TLS等バックエンド通信について議論する機会を得ました。 @kazuho @Jxck_ DC内でsrcipの偽造、乗っ取り、新設ができる攻撃レベルならノード自体がやれているわけで、IPsecなら安全とは想定しにくいですね。DC内TLS化は実際にNSAが行ったDC内通信のTAPに対する対策で機密データ通信に限定した漏洩を防ぐもの... 続きを読む

OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

2015/07/10 340 users OpenSSL advisory iojs 長文 脆弱性

TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/No... 続きを読む

華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記

2015/03/04 404 users 因数分解

TLS, OpenSSL 1. はじめにちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 ひぇー、またInriaとMSRのチームの脆弱性情報の公開か。Freakは既にOpenSSLで修正済だけど、SKIPは初耳や。 / “State Machine AttACKs against TLS (SMACK TLS)” URL2015-03-04 09:20:5... 続きを読む

2014-12-04 - ぼちぼち日記

2014/12/21 112 users 2014-12-04

http2この記事は、HTTP2 Advent Calendar 2014の6日目のエントリーです（2日前にフライイング公開してます）。 1. はじめに、HTTP/2仕様の標準化作業は、WGラストコールも終わり、今後IESGレビューやIETFラストコール等の大詰めの段階に来ました。来年のRFC化に向けてまだまだ予断を許しませんが、プロトコル設計自体の作業はほぼ完了し、後はすんなり行くことを祈るばか... 続きを読む

不正なSSL証明書を見破るPublic Key Pinningを試す - ぼちぼち日記

2014/09/02 128 users Public Key Pinning SSL証明書 TLS

TLS, WebSec先日のエントリー 「TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説)」で予告した通り、今回不正なSSL証明書を見破る Public Key Pinningの機能について解説します。 Public Key Pinning は2種類の方法があります。あらかじめブラウザーのソースコードに公開鍵情報を埋め込む Pre-loaded ... 続きを読む

OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記

2014/08/08 325 users OpenSSL TLS TLSプロトコル 脆弱性 基礎

TLS, OpenSSL 1. はじめに、昨日 OpenSSLのバージョンアップがアナウンスされ、９つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひ... 続きを読む

Node.jsにPromiseが再びやって来た！ - ぼちぼち日記

2014/03/19 131 users Promise stream node.js 非同期処理

ES.harmony, V8, JavaScript, Node.js tl;drサンプルコードを付けたら記事がかなり長くなってしまったのでご注意下さい。 Node.jsの current master で V8がアップデートされ ES6の Promise が使えるようになりました（要オプションですが）。Promise を使うと Node.jsの非同期処理がどのようになるのか、Stream と P... 続きを読む

SPDYとLinuxの間でGoogleマップがハマった落とし穴 - ぼちぼち日記

2014/02/07 402 users nginx SPDY Linuxカーネル Linux 大作

Linux, SPDY tl;dr 書いていたら思わず長文の大作になってしまいましたので、プロトコルオタ以外の方は文章の多さに退屈されるかと思います。GoogleマップサービスでSPDYの問題が発覚し、GoogleがLinuxカーネルに修正を加えて対応したというお話です。将来 Linux + nginx + SPDY を使いリバースプロキシでサービス運用を検討されている方は参考になるかもしれません... 続きを読む

隠れていたNode.jsの4バイトメモリリーク、Walmart問題の解決 - ぼちぼち日記

2013/12/12 289 users node.js Joyent Adventar node 解決

Node.jsこの記事は、 Node.js Advent Calendar 2013 - Adventar の12日目です。 1. ありがとう BenNodeの情報に普段アンテナを張っている人は既にご存じでしょうが、Nodeコア開発の中心的エンジニア Ben Noordhuis がNodeのコアチームから離れました。Joyentからの公式に「Ben Noordhuis’s Departure」とし... 続きを読む

Node.js-v0.10リリースアナウンスの簡単な解説と感想など - ぼちぼち日記

2013/03/12 163 users 解説 感想

Node.js 1. はじめに、昨年6月末に node-v0.8がリリースされて8か月半ほど経って node-v0.10 がリリースされました。私もいくつかパッチがこのリリースに採用されていまして、ちょっと感慨深いです。 当初1月末のリリース予定でしたが、やっぱり今日まで延びました。安定版リリース直前のゴタゴタはもうNodeの風物詩なんですね。 今回、Node-v0.10のリリースにあたり、 is... 続きを読む

Googleが仕掛ける新プロトコルQUICとは何か - ぼちぼち日記

2013/02/27 382 users Chromium quic Google 筆者 公表

QUICまずは免責事項。 1.Disclaimer本ブログに記載内容は、筆者が独自に QUIC に関する Chromium のソースを分析し、検証した結果です。 QUICに関するGoogle からの公式な技術資料は現状公開されていません。 今後、QUICの技術仕様の公表で本ブログの記述内容が不十分だったり、誤っている可能性があります。ご理解の上お読みください。 2. はじめに、Googleがまたま... 続きを読む

GmailがハマったSPDYの落とし穴 - ぼちぼち日記

2013/02/01 495 users SPDY プレスリリ ハイプサイクル Gmail 落とし穴

SPDY 1. SPDYブーム到来おかげさまで、ここ数日 SPDY が私の周りで非常にブームになってきています。 前回案内したSPDY＆WS勉強会は既に200名以上の申し込みがあり、今ではSPDYネタでブログを書くと非常に注目されるうれしい状況です。時代はまさに、 SPDYはハイプサイクルを順調に駆け上がっている 状況だと思います。 図１：2012年のハイプサイクル： 図はガートナー社のプレスリリ... 続きを読む

FacebookがSPDYを始めました！ - ぼちぼち日記

2013/01/22 199 users Facebook SPDY パネラー 満員 次世代Web

1. SPDYが熱いです！ちょうど先週末CROSS2013の 次世代Webセッション(プロトコル編) にパネラーとして参加させていただきました。 次世代Webの鍵となるWebSocket・SPDY・HTTP/2.0について熱い話ができとても満足しています。会場は満員で皆さんがとても興味を持って聞いていただいているのも十分感じることができました。 参加していただいた方、本当にありがとうございました。... 続きを読む

次世代JavaScriptでデータバインディング： Object.observe() を試す - ぼちぼち日記

2012/12/06 178 users データバインディング Object.observe

JavaScript, HTML5, ES.harmony, Chrome 1. はじめに、本記事は、HTML5 Advent Calendar 2012の参加（6日目）エントリーです。 当初は昨年のアドベントカレンダーでテーマにしたマイナーAPIをネタにして書こうかと考えていたのですが、探してもあまりピンとくるものがなく、いつものごとく新技術ネタに飛びついてしまう習性がでてしまったので今回次世代... 続きを読む