【悪用厳禁】mitmproxyを使えばSSL通信でも傍受できる

2021/11/28 123 users mitmproxy 悪用 悪用厳禁 最初 パスワード

最初に言っておきます。 mitmproxyは、開発の生産性をUPさせるモノです。 上手く使えば、開発の生産性がかなり向上します。 しかし、悪用しようと思えば悪用も可能です。 SSL通信であっても、通信を傍受できてしまいます。 つまり、パスワードをのぞき見することが可能になります。 でも、これは確実に犯罪です。 したが... 続きを読む

SSL通信も量子コンピュータの前では無意味に？　今から備えるべき「耐量子コンピュータ暗号」とは - ITmedia NEWS

2019/11/15 50 users 量子コンピュータ https ITmedia News 脅威

約10年後に訪れると見込まれる量子コンピュータの実用化の際には、現在の暗号の一部は解読されてしまう恐れがある。デジサート・ジャパンの林正人さんは、「量子コンピュータの脅威を正しく認識し、耐量子コンピュータ暗号の導入に今から備えるべき」という。 最近、ようやく多くの企業や団体のWebサイトが「HTTPS」（SS... 続きを読む

通信の最適化を発表したmineo、最適化が効かないSSL通信には帯域制限をかけている模様 - Togetter

2018/05/02 561 users Togetter mineo すまほん 帯域制限 HTTPS化

> 通信事業者が「通信の最適化」などと称して勝手に自サイトのデータを改竄して届けていることになります。こうした行為は、Webサイト運営者がSSL対応によるHTTPS化を行うことで防ぐことができる 解説：mineoが悪名高い「通信の最適化」を開始。 – すまほん!! smhn.info/201804-tuusin-… サイトがhttpsであれば回避できるなら、今年7月までには結構な割合のサイトで気に... 続きを読む

企業でのウェブサイト閲覧規制対象でYouTubeが急上昇、SSL通信を制限するところも -INTERNET Watch

2015/11/24 34 users YouTube キーマンズネット 有無 急上昇 アンケート結果

ニュース 企業でのウェブサイト閲覧規制対象でYouTubeが急上昇、SSL通信を制限するところも （2015/11/24 13:26） アイティメディア株式会社は24日、同社が運営するIT製品情報サイト「キーマンズネット」において、「企業におけるWebサイトの閲覧規制状況（2015）」についてのアンケート結果を公開した。 企業のIT担当者365人を対象に「インターネット利用時のポリシー設定の有無」... 続きを読む

【iOS9】HTTP→HTTPSだと！App Transport Security(ATS)について | MUSHIKAGO APPS MEMO

2015/08/10 152 users ats WebView http http通信 iOS9

iOS9では、WebViewなどで、HTTPへのアクセスができなくなっています。ネットで検索してみると、 【追記】iOS9でHTTP通信がSSL通信になるのを防ぐ方法 まじですか、要検証↓ HTTPでのリクエストは使えなくしていく気満々な模様。 シンプルなアプリでテストしてみたところ、 とエラーが出て、どうも本当のようです。 仮にGoogleへhttpsで接続して、その検索結果からサイトへアクセス... 続きを読む

Superfish問題に揺れるLenovoのサイトがハッキング被害　ハッカー集団がアタックか - ITmedia ニュース

2015/02/26 28 users Lenovo Superfish ふり 中国Lenovo 関与

Lenovoの公式Webサイトがハッキング被害に遭い、ハッカー集団のLizard Squadが関与をほのめかしている。 中国Lenovoの公式Webサイトが2月25日にハッキング被害に遭い、ハッカー集団のLizard Squadが関与をほのめかしている。Lenovoをめぐっては、同社製PCにプリインストールされていたソフト「Superfish」がSSL通信を傍受していたことが分かり、同社は批判にさ... 続きを読む

半径300メートルのIT：レノボのプリインストールソフトに大欠陥、“セキュリティの基本”以前の問題にどう向き合う？ - 誠 Biz.ID

2015/02/23 15 users プリインストールソフト ふり 角川EPUB選書 レノボ 作法

半径300メートルのIT：レノボのプリインストールソフトに大欠陥、“セキュリティの基本”以前の問題にどう向き合う？ Lenovo製PCにプリインストールされていた広告表示用のプログラム。こっそりSSL通信を傍受する仕組みも入れていたことが発覚して大問題になっています。 本連載「半径300メートルのIT」が角川EPUB選書から書籍『デジタルの作法』として発行されました。書籍化にあたりこれまでの書いた... 続きを読む

ニュース - SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体：ITpro

2015/02/20 15 users Superfish ITpro セキュリティベンダー ふり

セキュリティベンダーの米エラッタ・セキュリティは2015年2月19日、中国レノボのノートPCにプリインストールされていたソフトウエア「Superfish」の危険性を指摘した。SuperfishがインストールされていたPCでは、SSL通信を第三者に盗聴される恐れなどがあるという。 レノボのユーザーフォーラムへの投稿によれば、SuperfishがインストールされたPCでは、Webの検索結果に独自の広告... 続きを読む

LenovoのノートPCに不正なアドウェア、SSL通信を傍受 - ITmedia エンタープライズ

2015/02/20 53 users アドウェア Lenovo Superfish ふり 傍受

セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。 Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェアの中に、暗号化された通信を傍受する不正なアドウェアが含まれていたことが分かったとして、セキュリティ研究者がブログなどで報告した。Lenovoも2月... 続きを読む

Google HTTPS暗号化サイトの検索順位優遇を発表::SEM R (#SEMR)

2014/08/07 23 users TrackBack Takahiro Watanabe

Google HTTPS暗号化サイトの検索順位優遇を発表 Google暗号化サイトの検索順位優遇を発表 2014年08月07日 15:23 | Google 2010-2014 | TrackBack (0) | 執筆：Takahiro Watanabe+ Googleは2014年8月7日、SSL通信による暗号化に対応するWebサイトをオーガニック検索順位で優遇すると公式に発表した。 HTTPS対... 続きを読む

teratail[テラテイル]｜エンジニアの技術問題をすばやく解決するQ&Aサイト

2014/04/18 688 users teratail Session CakePHP https

teratail[テラテイル]は、WEBエンジニア専用のQ&Aサイトです。作業中発生したバグを投稿すると、すばやく回答を得られます。エンジニア同士で技術問題を解決できる、新しいプラットフォームです。CakePHPでのSSL通信によるsessionの引き継ぎ 4日前 CakePHPで会員登録制のWEBアプリケーションを作ってるのですが、 ログイン情報の保持が上手く行きません。 HTTPSからHTTP... 続きを読む

WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まっている

2014/04/13 1044 users Wireshark 落ち穂 ろば電子 OpenSSL 中身

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、S... 続きを読む

OpenSSLの脆弱性で想定されるリスク - めもおきば

2014/04/10 913 users Ope おきば OpenSSL JPCERT JVN

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今回の脆弱性の内容いわゆる「SSL通信」と呼ばれる暗号化通信は、実際にはSSL 3.0とより新しいTLS 1.0〜1.2（互換性のためプロトコル上の番号は3.1〜3.3）というプロトコルで定義されています。これらを使うために、様々なソフトウェアが利用している共通ライブラリが Ope... 続きを読む

nginx - httpsだからというだけで安全？調べたら怖くなってきたSSLの話!？ - Qiita

2014/03/14 894 users nginx Qiita ベンダー SSL 指摘

課題 サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は？と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSS... 続きを読む

SHA-2移行を2016年末までに完了せよ：シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説 - ＠IT

2014/02/05 77 users ハッシュアルゴリズム インストー シマンテック SHA-1

シマンテックは2014年2月5日、Webサイト閲覧を安全に行うために使われる電子証明書で利用されるハッシュアルゴリズムを、現在の「SHA-1」から「SHA-2」へ移行を促すための解説を行った。 WebブラウザーでSSL通信を行うためには、（1）ブラウザーなどにルート証明書を入れること、（2）認証局がSSLサーバー証明書を発行すること、（3）Webサイト管理者が正しくSSLサーバー証明書をインストー... 続きを読む

記者の眼 - あなたの「ビットコイン」が狙われる：ITpro

2014/02/02 25 users ITpro RSA アルゴリズム ハッシュ 到達

日経NETWORK2月号では、「暗号と認証」をテーマにした特集記事を掲載。ビットコインで使われるハッシュや公開鍵暗号の概要から、SSL通信で使われるRSAのアルゴリズムも図入りで詳細に解説。詳しくはこちら 昨年1年間で、激しく乱高下した通貨がある。1通貨単位で見ると、2013年初頭から8月まで100ドル前後で推移したが、徐々に値を上げて11月には1200ドルに到達。その後、翌12月には400ドル台... 続きを読む

WebAPIやOpenIDでSSLエラーが起きる現象につきまして - Yahoo! JAPAN Tech Blog

2014/01/29 52 users OpenID WebAPI Service 事象 くら

2014年1月28日(火) 21:00～より、弊社で提供しているhttpsのWebAPIにリクエストすると、SSL通信の障害が発生するという事象が報告されています。 弊社では下記のSSLサーバ証明書を利用しております。 - GMOグローバルサイン 企業認証SSL https://ocngs.globalsign.com/service/bizssl.html 原因として、WebAPIを利用するクラ... 続きを読む

iPhone - iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita [キータ]

2013/12/16 257 users キータ Qiita プロキシ 方法

はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ECサイトアプリ... 続きを読む

徳丸浩の日記: Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

2012/08/10 695 users 徳丸浩 盗聴 Twitter 履歴 エントリ

twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴（SSL含む）が平文で送信され、盗聴可能な状態になります。 Tポイントツールバーの導入は以下の手順です。 T-IDの登録（アカウント作成） ツールバーのダウンロード ツールバーの導入 詳しく... 続きを読む

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる | 徳丸浩の日記

2012/08/10 697 users 徳丸浩 盗聴 Twitter 履歴 エントリ

2012年8月10日金曜日 Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴（SSL含む）が平文で送信され、盗聴可能な状態になります。 導入 Tポイントツールバーの導... 続きを読む

Google検索がSSL通信をデフォルトに、キーワード取得ができなくなる - 海外SEO情報ブログ - 海外のSEO対策で極めるアクセスアップ術 | 海外SEO情報ブログ

2011/10/18 35 users デフォルト SEO対策 SSL 機密性 標準

[レベル：全員]Googleは、通信の機密性・安全性を確保するためにGoogle検索と検索ユーザーの通信をSSLによって標準状態で暗号化することを発表しました。2010年5月から、SSL通信で保護された検索をGoogleは試験的に公開していました。今後数週間かけて、SSL検索を標準のウェブ検索として採用していきます。ただしSSL検索が自動的に適用されるのはGoogleアカウントにログインしているユ... 続きを読む

Geekなぺーじ : イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因

2011/08/30 100 users Man-In-The-Middle Geek 異変 ユーザ

ただし、このMan-In-The-Middleを防ぐ方法がSSLには備わっています。 CA(Certificate Authorities)によって発行された証明書が正しいかどうかをユーザが判断するというものです。 Man-In-The-Middle攻撃をする機器は、正しい証明書ではなく、本来表示されるべきではない正しくない証明書を使ってSSLコネクションを張るため、ユーザ側で異変に気がつく事が可... 続きを読む

AndroidアプリケーションのSSL通信をプロキシで解析する(1) « JUMPERZ.NET Blog

2011/02/24 56 users プロキシ ローカルプロキシ ウェブブラウザ 解析 通信

0×00. はじめにAndroidアプリケーションの解析の際に、それがどのようなSSL通信を行っているかが重要となる場面がある。そのようなとき、Doormanのようなローカルプロキシでその通信をフックすることができれば目的が達成できる。しかし通常の（PC上の）ウェブブラウザのSSL通信と同じように、Androidにも元々「信頼できるもの」として扱われるルート証明書群がインストールされており、これら... 続きを読む