なぜ今までのDNSでは問題があるのか インターネット上の通信の多くは、ブラウザを利用したウェブによるものです。 セキュリティ向上のため、GoogleやFireFoxといった大手ブラウザベンダーが平文通信であるHTTPから暗号通信であるHTTPSへの移行を推奨し、盗聴・改竄・なりすましといった問題を解決することが出来ます。 しかしながら、そのHTTPS通信をする前のDNSによるドメイン解決は暗号化されておらず盗聴でアクセスするホスト名を把握される、なりすましで偽の応答を返されるといった可能性があります。 それを防ぐための方法の1つが、DNS over HTTPSです。 DNS over HTTPSとは 今までDNSサーバ(フルリゾルバ)の(主に)UDPポート53番に対して行われていたDNSによる名前解決を、TCPポート443番に対するHTTPS(HTTP/2 over TLS)通信上で行うプ
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
TwitterやYahoo!、GoogleなどがAPIに採用している「OAuth」に脆弱性が見つかった。 APIアクセス権の譲渡に使われているオープンプロトコルの「OAuth」に脆弱性が見つかった。OAuthを採用しているTwitterやYahoo!、Googleなどは、一時的にOAuthを無効にするなどの措置を取っている。 OAuthが4月23日付で公開したアドバイザリーによると、この脆弱性は「OAuth Core 1.0」のプロトコルに存在する。 攻撃者はまず正規のコンシューマーサイトにログインしてOAuth認証プロセスを開始し、サイトのリダイレクトに従って認証を受ける代わりに、Request Tokenとして発行された認証リクエストURIを保存する。次いでユーザーをだましてその認証リクエストURIで構成するリンクをクリックさせ、そのユーザーの保護されたリソースへのアクセスを許可させる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く