【悪用厳禁】mitmproxyを使えばSSL通信でも傍受できる

2021/11/28 123 users mitmproxy 悪用 悪用厳禁 最初 パスワード

最初に言っておきます。 mitmproxyは、開発の生産性をUPさせるモノです。 上手く使えば、開発の生産性がかなり向上します。 しかし、悪用しようと思えば悪用も可能です。 SSL通信であっても、通信を傍受できてしまいます。 つまり、パスワードをのぞき見することが可能になります。 でも、これは確実に犯罪です。 したが... 続きを読む

通信の最適化を発表したmineo、最適化が効かないSSL通信には帯域制限をかけている模様 - Togetter

2018/05/02 561 users Togetter mineo すまほん 帯域制限 HTTPS化

> 通信事業者が「通信の最適化」などと称して勝手に自サイトのデータを改竄して届けていることになります。こうした行為は、Webサイト運営者がSSL対応によるHTTPS化を行うことで防ぐことができる 解説：mineoが悪名高い「通信の最適化」を開始。 – すまほん!! smhn.info/201804-tuusin-… サイトがhttpsであれば回避できるなら、今年7月までには結構な割合のサイトで気に... 続きを読む

【iOS9】HTTP→HTTPSだと！App Transport Security(ATS)について | MUSHIKAGO APPS MEMO

2015/08/10 152 users ats WebView http http通信 iOS9

iOS9では、WebViewなどで、HTTPへのアクセスができなくなっています。ネットで検索してみると、 【追記】iOS9でHTTP通信がSSL通信になるのを防ぐ方法 まじですか、要検証↓ HTTPでのリクエストは使えなくしていく気満々な模様。 シンプルなアプリでテストしてみたところ、 とエラーが出て、どうも本当のようです。 仮にGoogleへhttpsで接続して、その検索結果からサイトへアクセス... 続きを読む

teratail[テラテイル]｜エンジニアの技術問題をすばやく解決するQ&Aサイト

2014/04/18 688 users teratail Session CakePHP https

teratail[テラテイル]は、WEBエンジニア専用のQ&Aサイトです。作業中発生したバグを投稿すると、すばやく回答を得られます。エンジニア同士で技術問題を解決できる、新しいプラットフォームです。CakePHPでのSSL通信によるsessionの引き継ぎ 4日前 CakePHPで会員登録制のWEBアプリケーションを作ってるのですが、 ログイン情報の保持が上手く行きません。 HTTPSからHTTP... 続きを読む

WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まっている

2014/04/13 1044 users Wireshark 落ち穂 ろば電子 OpenSSL 中身

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、S... 続きを読む

OpenSSLの脆弱性で想定されるリスク - めもおきば

2014/04/10 913 users Ope おきば OpenSSL JPCERT JVN

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今回の脆弱性の内容いわゆる「SSL通信」と呼ばれる暗号化通信は、実際にはSSL 3.0とより新しいTLS 1.0〜1.2（互換性のためプロトコル上の番号は3.1〜3.3）というプロトコルで定義されています。これらを使うために、様々なソフトウェアが利用している共通ライブラリが Ope... 続きを読む

nginx - httpsだからというだけで安全？調べたら怖くなってきたSSLの話!？ - Qiita

2014/03/14 894 users nginx Qiita ベンダー SSL 指摘

課題 サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は？と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSS... 続きを読む

iPhone - iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita [キータ]

2013/12/16 257 users キータ Qiita プロキシ 方法

はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ECサイトアプリ... 続きを読む

徳丸浩の日記: Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

2012/08/10 695 users 徳丸浩 盗聴 Twitter 履歴 エントリ

twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴（SSL含む）が平文で送信され、盗聴可能な状態になります。 Tポイントツールバーの導入は以下の手順です。 T-IDの登録（アカウント作成） ツールバーのダウンロード ツールバーの導入 詳しく... 続きを読む

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる | 徳丸浩の日記

2012/08/10 697 users 徳丸浩 盗聴 Twitter 履歴 エントリ

2012年8月10日金曜日 Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴（SSL含む）が平文で送信され、盗聴可能な状態になります。 導入 Tポイントツールバーの導... 続きを読む

Geekなぺーじ : イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因

2011/08/30 100 users Man-In-The-Middle Geek 異変 ユーザ

ただし、このMan-In-The-Middleを防ぐ方法がSSLには備わっています。 CA(Certificate Authorities)によって発行された証明書が正しいかどうかをユーザが判断するというものです。 Man-In-The-Middle攻撃をする機器は、正しい証明書ではなく、本来表示されるべきではない正しくない証明書を使ってSSLコネクションを張るため、ユーザ側で異変に気がつく事が可... 続きを読む