読者です 読者をやめる 読者になる 読者になる

TenForward

技術ブログ。はてなダイアリーから移転しました

Plamo Linux で Let's Encrypt

はじめに (読まなくても問題ありません) 自前で Plamo Linux で運用しているサーバはずっと StartSSL を使って証明書を取得していました。Let's Encrypt が出てきた時は、いろいろ調べてみるとコマンド著名ディストリビューション前提で、Plamo には対応して…

セキュリティ・キャンプキャラバンin大阪 2014 に行ってきた

まっちゃ139と共催だった セキュリティ・キャンプキャラバンin大阪 2014 に行ってきました。最近コンテナ関係のつながりで色々な方とお会いすることが多かったので、久々にセキュリティ系の勉強会で色々な方にお会いできて、ちょっと違ったノリで新鮮でした…

徳丸本をブロガーに差し上げちゃうキャンペーンのお知らせ - ockeghem(徳丸浩)の日記

まだ持ってない人は応募すると良いですね.

徳丸本ができるまで

徳丸本ができるまでのスライドが公開されていますね. 「徳丸本ができるまで」スライドを公開します - ockeghem(徳丸浩)の日記

体系的に学ぶ 安全なWebアプリケーションの作り方 電子版

「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します - ockeghem(徳丸浩)の日記 以前 レビュアーをさせていただいたので紹介した,いわゆる『徳丸本』の電子版が 9/28 に ブックパブ から発売されることになったようです.詳しくは…

firefox4 にしたらとあるサーバにhttpsで接続出来なくなった.

Renegotiation is not allowed on this SSL socket. (Error code: ssl_error_renegotiation_not_allowed)こんなエラーが出る.ふふーん,いつぞや話題になった SSL/TLS の renegotiation の脆弱性関連だなということは想像が付く.about:config で security.…

第 22 回まっちゃ 139 勉強会

被災地の皆様にお見舞い申し上げます.前日横浜にいて,途方にくれたものの,なんとか当日帰宅することが出来,とりあえず参加してきました.地震の翌日って事でしたが,被災地以外では元気に通常の活動をすることも意味があると思いますので,開催して良か…

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

公開されたのでもう少しちゃんと紹介してみよう.:-) 「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です - ockeghem(徳丸浩)の日記 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践作者: 徳丸浩出版社/…

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

楽しみですなー.

第21回まっちゃ139勉強会

行ってきました.当日のまとめなんかは 第21回まっちゃ139勉強会でMixiの中の人のシステム構成や運用の話を聞いてきました。 Togetter - 「第21回まっちゃ139勉強会(Mixiの中の人による「mixiのシステム構成・運用管理について」)のTweetまとめ」 な…

第20回まっちゃ139勉強会

早いものでもう 20 回目のまっちゃ139勉強会 に参加しました.(若干遅れたので最初の方の LT は聞けてない) (関連)いやー,広範囲の話題で楽しかったですね.皆さんテンポ良く発表されていたので,時間が伸びることもなく,トントントンと軽快に最後まで楽し…

第19回まっちゃ139勉強会

土曜日に行ってきました.今回は管理者系って事で,McAfee の本城さんによる「最近のマルウエアの状況と感染拡大戦略の変化」ってのがメイン.以前はメーカーの情シスにいたので,クライアントセキュリティの情報もそこそこ現場で触れる機会があったけど,現…

Apache HTTP Server の SNI サポート

しばらくチェック出来ていませんでしたが,2.2.12 から mod_ssl に SNI サポートのコードが入っているようですね.また時間を見つけてチェックしてみよう. *) mod_ssl: Add server name indication support (RFC 4366) and better support for name based v…

第二回わんくま139勉強会

先週土曜日に行ってきました.今回の一番の (私にとっての) 目玉は,目覚まし勉強会初出席ということ.相変わらず家でのんびりしすぎて,遅刻しましたが,思ったより早くついて,トップの sonodam さんのプログラムに少し遅れた程度でした.はせがわさんの P…

openssl-1.0.0-beta1

4 月 1 日なんかにリリースするから信用されてないみたいですね.(^_^;) 実際の所の動きを確かめたわけではないですが,httpd-2.2.11 付属の mod_ssl はエラーでコンパイル通りません.とりあえず,こんなのは出来た.:-) 0.9.8 系で make した httpd-2.2.11…

第17回まっちゃ139勉強会

土曜日にあって出てきました.やー,おもしろかった.ああいう統計とか取って発表出来るのはさすがマイクロソフトだなあ.ライトニングトークもおもしろかった.規格のまとめとか,頭の整理になったし (仕事で関係ないから整理した所で何も起きてませんが :p…

第16回まっちゃ139勉強会

10/4 (土)に参加してきました.今回はグループディスカッションが目玉.まっちゃ139勉強会では初めての試みだと思います.「いかにセキュアなコーディングをさせるか」というテーマでした.ある程度出てくる意見が予想出来るお題で,確かにそうだったのです…

暗号

今更な話題だけど...全日空のシステムトラブルの話. 原因は、既報されているように、チェックイン端末を管理するサーバー内の暗号化機能の有効期限の設定ミスによるもの。今回のトラブルについて、同社のCIO(最高情報責任者)である上席執行役員の佐藤透IT推…

Firefox 3のSSL対応方針、どう思う? (スラッシュドット・ジャパン)

本家記事は読んでないので,日本語の紹介とコメントだけを読んだ感想です.私には何が問題なのかイマイチ分からないのですが,それが日本語の方だけ読んでいるから,だったらスミマセン. Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー…

第15回まっちゃ139勉強会

参加しました.LAC の川口さんの講演は,最近直接セキュリティに関わる仕事をやってない (というのは微妙だけど) 私からすると大変勉強になりました.実際の攻撃手法はもちろん,監視を行っている人からのモラルの訴えかけというのは非常に効果的ですね.ラ…

firefox3 と SNI

firefox3 にすると,オレオレ証明書なサーバにアクセスすると,エラー画面になって,基本的にはそのサイトにはアクセス出来ないですが,例外として扱う事が出来て,色々クリックしているとアクセスは出来ます.が,どうもオレオレで,かつ SNI (https://sni.…

openssl-0.9.8h

今更ですが,openssl-0.9.8h で修正されているもののうち,「JVNVU#661475: OpenSSL Server Name extension data の処理にサービス運用妨害(DoS)の脆弱性」の方の話.これは openssl を "enable-tlsext" オプション付きでコンパイルしないとダメなやつかな? …

お菓子を食べて技術のはなしをする会 三食目

昨日はコレに参加.やっぱり仕事のあとはああいうゆるいのが最高です.:-)まっちゃさんの Facebookって安全?! ネタ.こういうのって仕組み上仕方ないような気がするけど,セキュアに実装する方法ってあるのかな?netvibes の twitter モジュールも GET /pro…

企業のホームページを狙ったDDoS攻撃を伴うネット恐喝行為について

まず、ある日突然に運営されているWebサーバがDDoS攻撃を受け、Webページの閲覧が困難になる事象が発生します。次に、電子メールを通じた恐喝が行われ、攻撃を止める代わりに特定の口座への振込みが要求されるというものです。 http://www.lac.co.jp/news/pr…

第14回まっちゃ139勉強会

前回はインフルエンザでダウンしてたので,なんか久々という印象ですが,出席しました.京都駅から会場まで歩きましたが,久々に三十三間堂とか智積院とかの前を歩くと懐かしかったですね (大学時代古美術研究会所属 :p).早く家を出て拝観すれば良かった.…

firefox 3 での警告画面

firefox 3 で見慣れない警告が.多分, 同じ Subject の証明書. シリアルが同じ. なのに証明書自体は違う. という場合に出るのかな.設定画面なんかではこれを回避する方法が分からなかったので,とりあえずプロファイル中 (~/.mozilla/firefox/[profile]…

subjectAltName を指定した証明書を発行してくれるサービス

教えてもらいました. CSP SSL Multi:マルチドメインで複数のコモンネームに対応 | CSP SSL で,このサンプルとして このサイト が紹介されていましたが,ここの証明書,確かに subjectAltName に複数の指定がありますが,同時に CN にも複数のホスト名が...…

ネームベースの VirtualHost で SSL/TLS (5)

(19:53 更新)以前やったネームベースの VirtualHost で SSL/TLSと同じ事なんですが,subjectAltName に IP アドレスを入れて,更にそれを IIS に読み込ませるという事をやったので,メモ.以前と同様に,外部ファイルを作りました (この外部ファイルが ca コ…

mod_security

単なる個人用メモ.まず mod_unique_id が必要って事なんで,既にインストールもされて稼働中なので,ソースで mod_unique_id を見ると,modules/metadata/ 以下にあったので, $ cd modules/metadata $ /usr/local/apache2/bin/apxs -c mod_unique_id.c # /…

ネームベースの VirtualHost で SSL/TLS (4)

ネームベースの VirtualHost で SSL/TLS で subjectAltName に,CN と別のホスト名を入れることにより,ネームベースでも VirtualHost 相当な事が出来るってのを試したんですが,今日,ふと設定した自分のサーバを見てみると,不思議な事が.この証明書は CN…

ネームベースの VirtualHost で SSL/TLS (3)

ネームベースの VirtualHost で SSL/TLS ネームベースの VirtualHost で SSL/TLS (2) RFC2817 の続編.ワイルドカード証明書や subjectAltName は,証明書側にそのような記述が必要なので,CAのポリシーによっては発行出来なかったりすることがあります.RFC…

RFC2817

ちょい時間が取れるようになったので,内職企画で Apache 2.2 からサポートという話の RFC2817 を設定してみました.とは言っても,こちら(Upgrading to TLS(RFC2817)の設定をApache2.2にしてみる|でびぞー徒然日記) に書いてあるのそのままなんですけどね…

Certificate spoofing with subjectAltName and domain name wildcards

フムフム,確かに Firefox だと毎回は警告出ない...

オレオレ証明書

オレオレ証明書=悪という話ではない. 高木浩光@自宅の日記 - こんな銀行は嫌だ, オレオレ証明書の区分 第三版 これは最悪だー.なんかそれに対する反論があるみたいですが, たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高…

情報漏洩

先日の KOF の展示で話を聴いた業者からお礼のメールが来てました.が,ヘッダを見ると同時に送信されたと思われる他の人のアドレスが... To ヘッダとか Cc ヘッダに羅列ではなく,メールサーバで独自につけられた "X-" で始まるヘッダでしたが,一行に一つ…

お菓子を食べて技術のはなしをする集まり

仕事は忙しいが気分転換に参加.終わってから家で仕事してますが... :(セキュリティのコミュニティの人が中心でしたが,発表はセキュリティ以外のものもあり,お菓子を食べながら懐かしい話に花を咲かせたりと,楽しい一時でした.もちろん,セキュリティ関…

ネームベースの VirtualHost で SSL/TLS (2)

先の日記 (ネームベースの VirtualHost で SSL/TLS) で,ネームベースのヴァーチャルホストを実現する方法として 3 つあるってのを書きましたが,RFC2817 (Upgrading to TLS Within HTTP/1.1) ってアプローチもあるんですね.(参考) Upgrading to TLS(RFC281…

ネームベースの VirtualHost で SSL/TLS

ネームベースのヴァーチャルホストで SSL/TLS を実現する場合, ワイルドカード証明書 subjectAltNameの使用 SNI (RFC3546) と方法があるのはご存知の方も多いかと.で,ワイルドカード証明書は以前,自分のオレオレ CA で発行して,自分のサーバで試してま…

Winny 等による情報漏洩事件は "レガシーシステム" のせい?

マイクロソフト日本法人のダレン・ヒューストン社長曰く 年金問題やWinnyによる情報漏えい事件に見られるように,日本でもレガシー・システムを維持することのコストや複雑性が明らかになった。レガシー・システムを,Windowsのような標準技術に基づくオープ…

第12回まっちゃ139勉強会

今回は会場が大阪って事でしたが,行くまであんな大きな会場とは思ってませんでした.行く直前にふと思いついて,目に止まったプリッツ (香港土産) を持っていきましたが,全く足りませんね (元々たりないと思ってましたが :-p).今回は大阪ってこともあるの…

IPA 情報セキュリティセミナー 技術標準編,技術専門編

二日目.標準編は,最近のトレンドをベースに対策の概要を説明という感じでしょうか.USBメモリ系とかシンクライアント系とか,私がこっち系の仕事やっていたときは,まだあまりクローズアップされてなかったネタなんかもあって,面白かったですね.まあ,表…

IPA 情報セキュリティセミナー マネジメントコース

1 日目.技術編だけ行こうとして上司に言ったら,こっちにも行ってこいということで,○×な会議に出るよりは良いか,って事で.毎年出ているので,内容的には目新しい事はなかったですが,最近この手の話から離れているから,まあ良かったかなと.説明はわか…

Name-based の Virtualhost で TLS

http://websec-memo.blogspot.com/2007/07/virtualhostssl.html TLS の拡張仕様で SNI というのがあるんですね.RFC3546 ですね.

SUSE LinuxのセキュアOS「AppArmor」の概要 (ThinkIT)

AppArmor って全く見たことなかったので勉強になります.比較的わかりやすく設定出来そうですね.> AppArmor 議論な主な論点はセキュリティレベルを下げてまで、使い勝手を上げることの是非です。 どんな時でも SELinux が必要なわけでもないでしょうし,ま…

Winny

高木氏のブログのエントリに対して, 前から思ってたけど、なんなんだろう、この人の尋常ならざるWinnyへの憎しみは。ときおり根拠らしく述べる内容は、どう見ても「nyは絶対悪」の結論ありきの後付的な臭いがする物ばかり。 http://d.hatena.ne.jp/r-west/2…

東大、日時情報だけで迷惑メールを90%振り分け 新フィルター技術を開発

極楽せきゅあ日記経由.うーん,効果あるのかなあ.少なくとも,私の個人アドレスでは,昼夜で迷惑メールの着信数自体には差はないですし,会社のウェブにさらしている問い合わせ先のアドレスにも昼間からバシバシと迷惑メールは着信します.以前は確かに夜…

まっちゃ139勉強会

参加.セキュアOSの話,SELinux って,プロの目から見ても,ああいう位置付けなのね... ま,一つの意見なんでしょうけど.あと RedHat 以外で動かすのはおすすめではないというのもなるほど.そういや関係ないけど,Fedora の Directory Server も RedHat,Fe…

Winny情報漏えいでPC持ち主の教諭が自殺 - ITmedia NEWS

千葉県市原市立小の児童の個人情報がWinnyで流出し、流出元PCを所有していた教諭が自殺した。 なんと言ったら良いか... 痛ましいですね...

JVN#81294906 ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性]

初めて IPA に脆弱性情報の届け出をしてみました.私のような知識のない者でも簡単に見つけられる,素朴な CGI スクリプトでした.(^_^;)パッチも出てますし,設置してある CGI も対策は簡単ですから,すぐに対応しましょう.

snortユーザ会

閉鎖のおしらせが来てました.残念ですが,確かに Mailing List の流量は落ちてましたし,個人的にも snort は惰性で運用しているだけという感じになっているものなあ...運営お疲れさまでした.(_o_)