タグ SSL通信
人気順 5 users 10 users 100 users 500 users 1000 users【悪用厳禁】mitmproxyを使えばSSL通信でも傍受できる
最初に言っておきます。 mitmproxyは、開発の生産性をUPさせるモノです。 上手く使えば、開発の生産性がかなり向上します。 しかし、悪用しようと思えば悪用も可能です。 SSL通信であっても、通信を傍受できてしまいます。 つまり、パスワードをのぞき見することが可能になります。 でも、これは確実に犯罪です。 したが... 続きを読む
SSL通信も量子コンピュータの前では無意味に? 今から備えるべき「耐量子コンピュータ暗号」とは - ITmedia NEWS
約10年後に訪れると見込まれる量子コンピュータの実用化の際には、現在の暗号の一部は解読されてしまう恐れがある。デジサート・ジャパンの林正人さんは、「量子コンピュータの脅威を正しく認識し、耐量子コンピュータ暗号の導入に今から備えるべき」という。 最近、ようやく多くの企業や団体のWebサイトが「HTTPS」(SS... 続きを読む
通信の最適化を発表したmineo、最適化が効かないSSL通信には帯域制限をかけている模様 - Togetter
> 通信事業者が「通信の最適化」などと称して勝手に自サイトのデータを改竄して届けていることになります。こうした行為は、Webサイト運営者がSSL対応によるHTTPS化を行うことで防ぐことができる 解説:mineoが悪名高い「通信の最適化」を開始。 – すまほん!! smhn.info/201804-tuusin-… サイトがhttpsであれば回避できるなら、今年7月までには結構な割合のサイトで気に... 続きを読む
【iOS9】HTTP→HTTPSだと!App Transport Security(ATS)について | MUSHIKAGO APPS MEMO
iOS9では、WebViewなどで、HTTPへのアクセスができなくなっています。ネットで検索してみると、 【追記】iOS9でHTTP通信がSSL通信になるのを防ぐ方法 まじですか、要検証↓ HTTPでのリクエストは使えなくしていく気満々な模様。 シンプルなアプリでテストしてみたところ、 とエラーが出て、どうも本当のようです。 仮にGoogleへhttpsで接続して、その検索結果からサイトへアクセス... 続きを読む
LenovoのノートPCに不正なアドウェア、SSL通信を傍受 - ITmedia エンタープライズ
セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。 Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェアの中に、暗号化された通信を傍受する不正なアドウェアが含まれていたことが分かったとして、セキュリティ研究者がブログなどで報告した。Lenovoも2月... 続きを読む
teratail[テラテイル]|エンジニアの技術問題をすばやく解決するQ&Aサイト
teratail[テラテイル]は、WEBエンジニア専用のQ&Aサイトです。作業中発生したバグを投稿すると、すばやく回答を得られます。エンジニア同士で技術問題を解決できる、新しいプラットフォームです。CakePHPでのSSL通信によるsessionの引き継ぎ 4日前 CakePHPで会員登録制のWEBアプリケーションを作ってるのですが、 ログイン情報の保持が上手く行きません。 HTTPSからHTTP... 続きを読む
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まっている
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、S... 続きを読む
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今回の脆弱性の内容いわゆる「SSL通信」と呼ばれる暗号化通信は、実際にはSSL 3.0とより新しいTLS 1.0〜1.2(互換性のためプロトコル上の番号は3.1〜3.3)というプロトコルで定義されています。これらを使うために、様々なソフトウェアが利用している共通ライブラリが Ope... 続きを読む
nginx - httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
課題 サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は?と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSS... 続きを読む
SHA-2移行を2016年末までに完了せよ:シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説 - @IT
シマンテックは2014年2月5日、Webサイト閲覧を安全に行うために使われる電子証明書で利用されるハッシュアルゴリズムを、現在の「SHA-1」から「SHA-2」へ移行を促すための解説を行った。 WebブラウザーでSSL通信を行うためには、(1)ブラウザーなどにルート証明書を入れること、(2)認証局がSSLサーバー証明書を発行すること、(3)Webサイト管理者が正しくSSLサーバー証明書をインストー... 続きを読む
WebAPIやOpenIDでSSLエラーが起きる現象につきまして - Yahoo! JAPAN Tech Blog
2014年1月28日(火) 21:00~より、弊社で提供しているhttpsのWebAPIにリクエストすると、SSL通信の障害が発生するという事象が報告されています。 弊社では下記のSSLサーバ証明書を利用しております。 - GMOグローバルサイン 企業認証SSL https://ocngs.globalsign.com/service/bizssl.html 原因として、WebAPIを利用するクラ... 続きを読む
iPhone - iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita [キータ]
はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ECサイトアプリ... 続きを読む
徳丸浩の日記: Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 Tポイントツールバーの導入は以下の手順です。 T-IDの登録(アカウント作成) ツールバーのダウンロード ツールバーの導入 詳しく... 続きを読む
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる | 徳丸浩の日記
2012年8月10日金曜日 Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 導入 Tポイントツールバーの導... 続きを読む
Geekなぺーじ : イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因
ただし、このMan-In-The-Middleを防ぐ方法がSSLには備わっています。 CA(Certificate Authorities)によって発行された証明書が正しいかどうかをユーザが判断するというものです。 Man-In-The-Middle攻撃をする機器は、正しい証明書ではなく、本来表示されるべきではない正しくない証明書を使ってSSLコネクションを張るため、ユーザ側で異変に気がつく事が可... 続きを読む
AndroidアプリケーションのSSL通信をプロキシで解析する(1) « JUMPERZ.NET Blog
0×00. はじめにAndroidアプリケーションの解析の際に、それがどのようなSSL通信を行っているかが重要となる場面がある。そのようなとき、Doormanのようなローカルプロキシでその通信をフックすることができれば目的が達成できる。しかし通常の(PC上の)ウェブブラウザのSSL通信と同じように、Androidにも元々「信頼できるもの」として扱われるルート証明書群がインストールされており、これら... 続きを読む