■ 地方銀行のEV SSL対応はどうなったか 2005年2月20日の日記で「フィッシング防止のため地方銀行はこうするべき」ということを書いた。つまり、インターネットバンキングのログイン画面のページで、ちゃんと銀行のドメイン名を使用するべきだという話だった。たとえば、NTTデータの「ANSER WEB」を利用してインターネットバンキングのサービスを提供している小さな銀行らは、anser.or.jp というドメイン名のURLのページ上にログイン画面があるため、一般の利用者達にとって、本物と見分けるのが簡単ではなかろうという話だった。 そして今年の4月、次のニュースが出た。 インターネットバンキングサービスのフィッシング対策を強化! 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜, NTTデータ, 2008年4月22日, NTTデータでは、こうした状況を踏まえ、サイトの信頼
前回の記事「【ハウツー】カスタマイズFirefox - Firefoxの拡張機能を作ろう」では、Firefoxの「拡張機能」プログラミングの基本を勉強しました。仕組みさえわかってしまえば決して複雑なものではなく、自分のために役立つ拡張機能を作ってみようという気になっていただけたのではないでしょうか。 ただ、機能を修正したり、新しい機能を付け加えたりしたい場合、一度インストールした拡張機能を削除して再度インストールするのは手間です。また自宅と学校、職場など複数のコンピュータでFirefoxを使っている場合、いちいち最新版の拡張機能をインストールするのも同様です。そこで本稿では、拡張機能の機能を自動的に更新する方法について解説します。 Firefoxでは、本体の自動更新機能とは別に、拡張機能にも自動更新のための機能を持たせられます。この機能を使うと拡張機能に不具合が見つかって修正しなければなら
Latest topics > Firefox 3で安全にアドオンを配布するための方法のまとめ 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « ユニコーンガンダム 腕 Main ボーイズ・オン・ザ・ラン8 » Firefox 3で安全にアドオンを配布するための方法のまとめ - Dec 25, 2007 第8回Mozilla拡張機能勉強会のプレゼン資料を公開した。 以下、内容を改めて整理してみる。 update.rdfの確実性の保証 まず、Firefox 3ではセキュアな方法で自動更新が行われないアドオンはインストールできなくなる。ここでいう「セキュアな自動更新」とは、「インストールされたアドオンについて、自動更新でダウンロードしてきた新バージョン
■ 第六種オレオレ証明書が今後増加するおそれ リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。 無知な鯖管, 別館「S3日記」, 2007年12月9日 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日 これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フ
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
セキュリティに優れたSSLサポートは重要だが、問題がない状態が分かるよりも、“問題が起きている状態が分かる”方が重要なのだ。 Webブラウザは、現在において重要度の高い成熟されたアプリケーションである。そのエラーメッセージは完璧なものだろうと考える読者もいるだろう。しかし現実には、ブラウザの解釈はかなりお粗末なのである。アドレスの入力ミスといったエラーでさえも、初心者にとっては意味不明のメッセージが表示されるのだ。すべて正常に動作している場合、Webは単純明快だ。もちろん、いつもそのようになるわけではない。 このような問題が生じた場合、その状況を最も説明しにくいブラウザ機能の1つがSSLサポートである。IE 7では、この点に関してある程度の改善が施されている。一方、Mozilla Groupは、Firefox 3でエラー発生時の対処を容易にしようとしている。 両ブラウザは、SSL証明書の新
SSL証明書について調査してみました。今更ながら初めて知ることも結構あったり。EV SSLとか正直知らなかったよ。久方ぶりの調査内容は、せっかくなのでまとめなおしてみたいと思います。全部Webをクロールすれば分かることなのですが、なかなかこういう情報ってまとまってないものですし。 以下、個人的なメモ含の備忘録です。 (*) 主観的な情報はほぼ排除してWebから分かる客観的な事実のみをまとめています。「で、結局どうよ?」な話はまた別で。。 memo SGC(Server Gated Cryptography) 古いブラウザでアクセスしたとき(40bit暗号しか対応していないとき)強制的に128bit暗号にする技術 VeriSign、またはVeriSign傘下の会社のみが発行できる(?) 下の調査会社の中ではVeriSign、thawteが対応 EV SSL 企業の実在性をより確実に認証する証
■ 銀行2.0はまだ来ない 4月に、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」というブログエントリを見かけた。それによると、Internet Explorer がバージョン7に移行し始めたことを契機に、「SSL 2.0を使用する」に設定変更するよう指示している銀行があるのだという。Internet Explorer 7がセキュリティ上の理由でSSL 2.0をオフに変更したにもかかわらずだ。 例えば武蔵野銀行は、4月の時点で図1の解説を掲示していた。 Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。 他にも山形銀行が同様の解説を掲示していた。いったいどうしてこんなことになるのかと、問題点の指摘がてら、なぜ書いているのか聞いてみた(4月に電話で)。すると、だいたいこういうやりとりになった。 ある銀行:
IE7のAES対応の続き。 Vista の IE7 と Firefox2 は双方とも AES に対応しているものの、Firefox が 256bit で通信できるのに対して、IE7 は 128bit になってしまいます。IE7 は 256bit に対応していないのか? と思いつつ Wireshark でパケットキャプチャして、Client Hello を確認してみると、以下の12の Cipher Suites をこの順番で出していました。 TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) TLS_RSA_WITH_RC4_128_SHA (0x0005) TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) TLS_ECDHE_ECDSA_WITH_AES_128_
New plugin mimics IE 7 by displaying a green address bar for highly-trusted sites that use EV SSL encryption 証明書の取得に相当な金額を要するとかで、中小の商店にとって負担になるが、これが一般化すると採用しない小さな店や個人は信用出来ないと思われる恐れがあるとして論議を呼んでいる Extended Validation Secure Sockets Layer ですが、既に IE 7 では EV SSL を使っている暗号化されたサイトでは、アドレスバーの背景色を変えるという方法で識別する表示法をとっている。 記事によると、証明書の発行元である verisign が Firefox 向けアドオンを作り配布しているとのこと。 VeriSign EV Green Bar Extension
高木浩光氏が銀行のフィッシング解説の出来の悪さについて書いていた(http://takagi-hiromitsu.jp/diary/20070331.html#p01)。それで銀行のサイトをつらつらと見ていたんですが、暗号化強度についての言及について、気付いた事があったので、書きます。(フィッシングとは関係ありません。) りそな銀行のサイトより。強調は筆者。 セキュリティ安心講座/質問集1 http://net.resona-gr.co.jp/resonabank/red/inetbank/security/qa01.html Q1 インターネットって情報が漏れないか心配なのですが…。 A1 りそなダイレクトでは強力な暗号化で対応しています。 (中略) 「りそなダイレクト」では、現在、一般に用いられている中で最強の128ビット暗号化システムによりお客さまの情報を保護しています。 最新のセキ
インターネットバンキングでのFirefox推奨状況を確認していた時に気が付いたのだが、Internet Explorer 7ユーザーに対して、SSL2.0を使うように設定変更を促している銀行が目に付いた。これらの銀行では注意書きとして『Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。』などと書かれているので、一般ユーザーならばチェックしなければならないものと思ってしまうのではないだろうか。 Internet Explorer 7 における HTTPS セキュリティの強化点 (Windows IETechCol)にも記述があるように、SSL2.0はセキュリティの問題が理由でIE7の標準設定から外されたのだが、このような銀行の対応は問題を全く無視しているとしか思えない(それとも、問題自体を知らない?)。もうちょっとまとも
■ IE 7の普及でサーバ証明書失効によるトラブルが表面化する Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。 Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。 この影響が出始めているようだ。 QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日 ビスタに変えてから、XPの時に普通に入れていたサ
ウレタン系高反発マットレスでよく言及されるのが密度です。それを頑張って分かりやすく説明してみます。
SSL2 は危険性が指摘され、最近のブラウザではデフォルトで無効になっています。 その無効になっている SSL2 でアクセスしようとするとどうなるか、試してみました。 Firefox 2 日本語版の場合。 警告 ! [OK] 警告なのはわかるけど、何の警告なのかわからない。 参考: Bugzilla-jp Bug 5400 SSL2の警告が表示されない IE7 日本語版の場合。 Internet Explorer ではこのページは表示できません (中略) この問題は以下を含む様々な原因により発生します: (中略) これが HTTPS (安全な) アドレスである場合、[ツール]、[インターネット オプション]、[詳細設定] の順にクリックして、[セキュリティ] の項目の下にある、SSL と TLS のプロトコルが有効になっていることを確認してください。 あの、それではユーザーが危険性を理解し
eXperts Connection はシステム エンジニアやシステム管理者を対象とし、マイクロソフトのサーバー システム製品を中心に情報交換や意見交換を行うコミュニティです。ユーザーとマイクロソフトからなるチームでテーマを厳選して議論し、情報を共有・蓄積していきます。また、エキスパート コネクションは .NET Framework上で作成されており、サイト上でソースコードを公開しています。ソースコードに対する機能追加や修正に関する議論を行うことで、お客様が作成する.NET アプリケーションの参考にすることが可能です。 eXConn Blogsでは 「マイクロソフト社員による個人または部門(チーム)の Blog」 の運用を行っています。 このブログでは、マイクロソフトでの経験を活かした部門チームが、セキュリティエンジニアを目指している未経験者達が今後取るべき資格や、IT業界においてのセキュ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く