サーバいじくり雑記

2015年10月25日

Let’s Encrypt発行の無料サーバ証明書、全主要ブラウザで有効に

Filed under: セキュリティ, Web — bompopo @ 11:16 PM

Let’s Encrypt発行の無料サーバ証明書、全主要ブラウザで有効に

主要…かぁ。
ガラケーはやっぱ対象外なんだろうなぁ。まぁ考慮するだけ無駄だし気にしてられない。

「個人事業主」が感じている、企業のマイナンバー対策への懸念

Filed under: セキュリティ, ニュース — bompopo @ 12:50 PM

「個人事業主」が感じている、企業のマイナンバー対策への懸念

いよいよマイナンバー。すでにマイナンバーに関する犯罪もおきてることから不安でたまらない。

そうか…個人事業主は仕事でも自分のマイナンバー使わないかんのか。はぁ…。

2015年1月14日

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ

Filed under: セキュリティ, ソフト — bompopo @ 2:06 PM

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ

おおう。手持ちのタブレットが〜。やはり買い換えかぁ〜。

それよりサポ切れ端末があふれる状況に頭いたくなりそう。

2014年12月25日

Yahoo!JAPAN デベロッパーネットワーク 知っておきたい7つのID連携実装パターン

Filed under: セキュリティ, ソフト, 開発技術, Web — bompopo @ 10:58 AM

Yahoo!JAPAN デベロッパーネットワーク 知っておきたい7つのID連携実装パターン

いま手元でやってるのはあんましよい方法じゃないかもな。
もちっとちゃんと考えよう。

2014年12月18日

「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響

Filed under: セキュリティ, Web — bompopo @ 10:43 AM

「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響

 企業にとって、この「通信の中身を監視できる」ことは重要である。覗き見や盗聴などではなく、通信を制御するという正しい目的のために活用できるからだ。HTTPでは、ネットワーク監視ソフトなどで通信(パケット)の中身を見ることにより、利用しているサービスやアプリケーションの種類、ユーザー識別情報など、通信の制御に使える様々な関連情報を手に入れられる。

企業はどこまでも監視したい。が、建前は、

 例えば、情報漏洩対策向け製品の中には、流れるパケットの中身を監視し、個人情報や機密情報に関連するキーワードが含まれていたらアラートを出したり通信を遮断したりできるものがある。HTTPS通信が増えると、こうした製品の有効性や利用価値が薄れるといった影響が表れる。ダウンロードによるウイルスの侵入を防ぐゲートウエイ型セキュリティ製品や、不正アクセスを受けた際の証拠保全などに使われるディジタルフォレンジック製品なども同様である。

だけど、別に証明書が無償配布されなくても、これから先もマルウェア等が生データをHTTPでそのまま通信し続けるとは限らんでしょ。オレオレ証明書でもマルウェアが裏で勝手にそれ使って通信している分にはかわらない。やはり本音は単に「監視したい」だけ。

 SSL証明書は、証明書の発行機関(認証局)がWebサイトに対して発行して終わりというものではない。証明書には「有効期限」があり、また有効期限が切れる前であっても、暗号鍵の紛失や不正利用された場合などに証明書を使えないようにする「失効(リボーク)」という処理が必要となるケースがある。この失効証明書の管理がしっかり行われなければ、その認証局が発行する証明書全体の信頼性が根底から崩れてしまう。

ここは考えてなかった。確かに失効処理がちゃんとスムーズに行われないとそれは安心しては使えない。

2014年12月16日

ワンタイムパスより便利? 「スマホ認証」、常陽銀行がネットバンクに採用した新機能

Filed under: セキュリティ — bompopo @ 12:10 AM

ワンタイムパスより便利? 「スマホ認証」、常陽銀行がネットバンクに採用した新機能

この手の認証方法は大きな穴がある気がしてならないんだよな。漠然と。詰めていくと安全なんだけど。

2014年12月4日

セキュリティに詳しくなる無償のオンライン講座、2015年からスタート

Filed under: セキュリティ, 開発技術, Web — bompopo @ 4:45 PM

セキュリティに詳しくなる無償のオンライン講座、2015年からスタート

一応登録しとくか。。。存在忘れちゃいそうだけど登録しとけば開始の前に連絡くるよな。多分。

ga024: 情報セキュリティ『超』入門

変形文字の判読はもう不要、Googleが新型CAPTCHA開発

Filed under: セキュリティ, 開発技術, Web — bompopo @ 2:36 PM

変形文字の判読はもう不要、Googleが新型CAPTCHA開発

前後の行動を見て判断するって書いてあるけどどういう技術背景で判断しているか書いてないので使ってみるしかなさそうだ。幸い(?)すでに実績を積んでいるようである。

導入方法はGoogle Developers reCAPTCHAを見ればすぐ試せそう。後で試すメモ。

2014年11月19日

証明書を無料で発行、HTTPSの導入を支援する「Let’s Encrypt」2015年夏開始

Filed under: その他, セキュリティ, Web — bompopo @ 8:03 PM

証明書を無料で発行、HTTPSの導入を支援する「Let’s Encrypt」2015年夏開始

おおお。
ケータイやスマフォからも問題なく見えるCAだよね?もちろん。メモメモ。
某無料httpsサーバ証明書はPC以外からはNGだったりしたんで。。。

2014年8月21日

EMET日本語ユーザマニュアル

Filed under: セキュリティ, ソフト, Windows — bompopo @ 10:32 AM

EMET日本語ユーザマニュアル

あとで読む。

Older Posts »