タグ サーバ証明書
人気順 5 users 50 users 100 users 500 users 1000 usersラーメン「一蘭」公式アプリに「盗聴の恐れ」 サーバ証明書の検証不備で
JPCERT/CCと情報処理推進機構(IPA)は2月6日、ラーメンチェーン店を展開する一蘭(福岡市)の「一蘭公式アプリ」(iOS/Android)で、サーバ証明書の検証不備の脆弱性が見つかったと報告した。 影響を受けるのは3.1.0より前のバージョン。影響度を示すCVSS v3のベーススコアは6.5。悪用されると暗号通信の盗聴が行われ... 続きを読む
Hiromitsu Takagi on Twitter: "サーバ証明書を検証していないことと、piningしていないことは違う。どっちなの? 前者は脆弱性、後者は自由。自分で中身を見られるのは何の問題もない(ように内
サーバ証明書を検証していないことと、piningしていないことは違う。どっちなの? 前者は脆弱性、後者は自由。自分で中身を見られるのは何の問題もない(ように内部プロトコルが設計されているべき)なのでpiningは必要でない。 https://t.co/Pfhe8CzIFk 続きを読む
どなるどだっく on Twitter: "なんとなくコロナワクチン接種証明アプリの通信解析をしてみたんだが、アプリがサーバ証明書確認せずに情報送信してるから、SSLインスペクションで送受信デー
なんとなくコロナワクチン接種証明アプリの通信解析をしてみたんだが、アプリがサーバ証明書確認せずに情報送信してるから、SSLインスペクションで送受信データが見えてしまうんだが・・・ マイナンバーカードのRawデータが丸見えです。 https://t.co/6Ot5owQ6mD 続きを読む
ZeroSSL ならIPアドレスのサーバ証明書が取得できる - ASnoKaze blog
IPアドレスのサーバ証明書が欲しい場合があります。 例えばDNS over HTTPSではIPアドレスでアクセス出来るように、有効な証明書がセットされていたりします。 https://1.1.1.1 https://8.8.8.8 しかし、無料でサーバ証明書が取得できるLet's Encryptでは、IPアドレスのサーバ証明書は取得できません ~$ sudo certbot cer... 続きを読む
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明... 続きを読む
Apple、開発者やWeb管理者に対し、iOSやmacOSなどで2020年9月1日以降に発行されたTLS サーバ証明書の有効期間を最大825日から398日に変更すると公式に通知。 | AAPL Ch.
Appleが開発者やWeb管理者に対し、iOSやmacOSなどで2020年9月1日以降に発行されたTLS サーバ証明書の有効期間を最大825日から398日に変更すると公式に通知しています。詳細は以下から。 Apple 続きを読む
マイクロソフトのクラウドサービス「Microsoft Teams」がサーバ証明書を更新し忘れ。2時間のあいだユーザーからアクセスできなくなる障害発生 - Publickey
マイクロソフトのクラウドサービス「Microsoft Teams」がサーバ証明書を更新し忘れ。2時間のあいだユーザーからアクセスできなくなる障害発生 マイクロソフトがチャットサービスとして提供する「Microsoft Teams」は、急速に人気を高めているSlackに対抗するべくマイクロソフトが力を入れているサービスのひとつです。 ... 続きを読む
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | [更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/06/27)
■更新の理由について Web ブラウザは、ユーザーインターフェースの変更やセキュリティパッチ適用など定期的にアップデートされています。また、アップデートにはセキュリティ強化のために考慮されたデザインなどの変更も含まれています。 このようなことから各ブラウザのサーバ証明書の表示が変更されているため、アップ... 続きを読む
とある研究所ではPCを買った後も大変 (#3521521) | 社内の厳しいIT環境を退職の理由の1つと記した退職エントリ、エンジニアから多くの賛意が寄せられる | スラド
スペックの良いPCを与えられてもすぐ使えるわけではなく、セキュリティのため様々な手続きや作業が必要です。 ・PCを社内システムに登録申請(しないとNWに接続できない) ・ブラウザの設定変更(社内システム用設定とセキュリティ設定とプロキシ設定) ・社内システムのサーバ証明書のインポート ・PCから社内システム... 続きを読む
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTド... 続きを読む
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTド... 続きを読む
〔三菱UFJダイレクト〕銀行名変更にともなうサーバ証明書の切替について | 三菱UFJ銀行
2018年6月10日(日)に新銀行名のサーバ証明書への切替を予定しております。 上記変更に伴い、お客さまの端末の設定等によりエラー画面が表示される場合がございます。 エラー画面が表示された場合には、以下、リンクの「ルート証明書のインストール方法(デジサート・ジャパン合同会社(旧合同会社シマンテック・ウェブサイトセキュリティ社ホームページ)」をご確認のうえ、証明書のインストールをお願いします。 ご不... 続きを読む
JVN#01161596: Safari におけるスクリプトインジェクションの脆弱性
Apple が提供する Safari には、サーバ証明書エラーの表示処理にスクリプトインジェクション ( CWE-81 ) の脆弱性が存在します。 サーバ証明書の検証でエラーとなった際に Safari が表示するエラーページには、サイトにアクセスした際に使われたドメイン名がそのまま出力されるため、細工されたドメイン名のサイトに誘導された結果として表示されるエラーページを通じて、ウェブブラウザ上でス... 続きを読む
Weekly Report: curl に SSL サーバ証明書の検証不備の脆弱性
<<< JPCERT/CC WEEKLY REPORT 2017-03-01 >>> ■02/19(日)〜02/25(土) のセキュリティ関連情報 目 次 【1】サイボウズ ガルーンに複数の脆弱性 【2】curl に SSL サーバ証明書の検証不備の脆弱性 【3】Logic Pro X にメモリ破損の脆弱性 【今週のひとくちメモ】JIPDEC が「JIPDEC経営読本 情報管理はマネーです」を公開... 続きを読む
Kazuho's Weblog: Name Constraints を使った独自CAの運用手順
ウェブブラウザが新機能をHTTPSでしか有効にしないことが多くなってきたので、開発環境でもHTTPSを使いたい。でも、開発環境用にサーバ証明書を買うのは手間。Let's Encryptも運用がめんどくさいとか、社内からしかアクセスできないサーバへの証明書発行が難しいとかいろいろあるし…ってそこでName Constraintsを使った独自CAですよ奥さん。 Name Constraints が何で... 続きを読む
さくらVPSで、Let's Encryptのサーバ証明書を使って、SSL対応のサイトを作る設定手順
ちょっとしたことをメモしておくところ。さくらVPSで、Let's Encryptのサーバ証明書を使って、SSL対応のサイトを作る設定手順 参照 Let's Encrypt Let's Encrypt 総合ポータル 無料SSL証明書の Let's Encrypt が公開されたので実際に試してみた 注意 以下はあくまで結城の個人的なメモです。 前提 さくらVPSを使ってWebサイトを運用している。 独... 続きを読む
Kazuho's Weblog: 自社サーバと交信するスマホアプリにおけるサーバ証明書の発行手法について(SSL Pinningと独自CA再考)
Tuesday, July 15, 2014 自社サーバと交信するスマホアプリにおけるサーバ証明書の発行手法について(SSL Pinningと独自CA再考) ■背景 自社のサーバと通信する自社アプリについて、本来不要であるにも関わらず他社であるCAに認証情報の管理を委託することが多いわけですが、CAが証明書を誤発行した結果情報漏洩が発生したとして、その責任は自社にはないと主張できるのか、もう一度考... 続きを読む
小悪魔女子大生のサーバエンジニア日記 » Blog Archive » こあくま、社会人になりました!
02.04.12 / こあくまちゃんのこと, 未分類 / Author: aico お知らせがあります… ついにこあくま、社会人になりました!! 今日から、アルバイトではなく社員としてdirectorzで働くことになりました。 directorzは主にサーバのホスティング事業とサーバ証明書(SSL)の取得代行サービスを行う会社です。 …というわけでみなさん! directorzにサーバをください♪... 続きを読む