ネームベースの VirtualHost で SSL/TLS ネームベースの VirtualHost で SSL/TLS (2) RFC2817 の続編．ワイルドカード証明書や subjectAltName は，証明書側にそのような記述が必要なので，CAのポリシーによっては発行出来なかったりすることがあります．RFC…

ちょい時間が取れるようになったので，内職企画で Apache 2.2 からサポートという話の RFC2817 を設定してみました．とは言っても，こちら(Upgrading to TLS(RFC2817)の設定をApache2.2にしてみる｜でびぞー徒然日記) に書いてあるのそのままなんですけどね…

フムフム，確かに Firefox だと毎回は警告出ない...

オレオレ証明書＝悪という話ではない． 高木浩光＠自宅の日記 - こんな銀行は嫌だ, オレオレ証明書の区分 第三版 これは最悪だー．なんかそれに対する反論があるみたいですが， たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高…

先日の KOF の展示で話を聴いた業者からお礼のメールが来てました．が，ヘッダを見ると同時に送信されたと思われる他の人のアドレスが... To ヘッダとか Cc ヘッダに羅列ではなく，メールサーバで独自につけられた "X-" で始まるヘッダでしたが，一行に一つ…

仕事は忙しいが気分転換に参加．終わってから家で仕事してますが... :(セキュリティのコミュニティの人が中心でしたが，発表はセキュリティ以外のものもあり，お菓子を食べながら懐かしい話に花を咲かせたりと，楽しい一時でした．もちろん，セキュリティ関…

先の日記 (ネームベースの VirtualHost で SSL/TLS) で，ネームベースのヴァーチャルホストを実現する方法として 3 つあるってのを書きましたが，RFC2817 (Upgrading to TLS Within HTTP/1.1) ってアプローチもあるんですね．(参考) Upgrading to TLS(RFC281…

ネームベースのヴァーチャルホストで SSL/TLS を実現する場合， ワイルドカード証明書 subjectAltNameの使用 SNI (RFC3546) と方法があるのはご存知の方も多いかと．で，ワイルドカード証明書は以前，自分のオレオレ CA で発行して，自分のサーバで試してま…

マイクロソフト日本法人のダレン・ヒューストン社長曰く 年金問題やWinnyによる情報漏えい事件に見られるように，日本でもレガシー・システムを維持することのコストや複雑性が明らかになった。レガシー・システムを，Windowsのような標準技術に基づくオープ…

今回は会場が大阪って事でしたが，行くまであんな大きな会場とは思ってませんでした．行く直前にふと思いついて，目に止まったプリッツ (香港土産) を持っていきましたが，全く足りませんね (元々たりないと思ってましたが :-p)．今回は大阪ってこともあるの…

二日目．標準編は，最近のトレンドをベースに対策の概要を説明という感じでしょうか．USBメモリ系とかシンクライアント系とか，私がこっち系の仕事やっていたときは，まだあまりクローズアップされてなかったネタなんかもあって，面白かったですね．まあ，表…

1 日目．技術編だけ行こうとして上司に言ったら，こっちにも行ってこいということで，○×な会議に出るよりは良いか，って事で．毎年出ているので，内容的には目新しい事はなかったですが，最近この手の話から離れているから，まあ良かったかなと．説明はわか…

http://websec-memo.blogspot.com/2007/07/virtualhostssl.html TLS の拡張仕様で SNI というのがあるんですね．RFC3546 ですね．

AppArmor って全く見たことなかったので勉強になります．比較的わかりやすく設定出来そうですね．> AppArmor 議論な主な論点はセキュリティレベルを下げてまで、使い勝手を上げることの是非です。 どんな時でも SELinux が必要なわけでもないでしょうし，ま…

高木氏のブログのエントリに対して， 前から思ってたけど、なんなんだろう、この人の尋常ならざるWinnyへの憎しみは。ときおり根拠らしく述べる内容は、どう見ても「nyは絶対悪」の結論ありきの後付的な臭いがする物ばかり。 http://d.hatena.ne.jp/r-west/2…

極楽せきゅあ日記経由．うーん，効果あるのかなあ．少なくとも，私の個人アドレスでは，昼夜で迷惑メールの着信数自体には差はないですし，会社のウェブにさらしている問い合わせ先のアドレスにも昼間からバシバシと迷惑メールは着信します．以前は確かに夜…

参加．セキュアOSの話，SELinux って，プロの目から見ても，ああいう位置付けなのね... ま，一つの意見なんでしょうけど．あと RedHat 以外で動かすのはおすすめではないというのもなるほど．そういや関係ないけど，Fedora の Directory Server も RedHat,Fe…

千葉県市原市立小の児童の個人情報がWinnyで流出し、流出元PCを所有していた教諭が自殺した。 なんと言ったら良いか... 痛ましいですね...

初めて IPA に脆弱性情報の届け出をしてみました．私のような知識のない者でも簡単に見つけられる，素朴な CGI スクリプトでした．(^_^;)パッチも出てますし，設置してある CGI も対策は簡単ですから，すぐに対応しましょう．

閉鎖のおしらせが来てました．残念ですが，確かに Mailing List の流量は落ちてましたし，個人的にも snort は惰性で運用しているだけという感じになっているものなあ...運営お疲れさまでした．(_o_)

調べによると、西野容疑者は2006年11月14日、15日の両日、ジェット証券の顧客IDとパスワードを盗み出す目的で、自身が作ったプログラムを使い、同社証券システムのサーバーに、IDとパスワードの組み合わせを総当りで自動入力させた。 Web のログイン画面への…

メモ． SQLコメント/*変数名*/を使っているなら、自動的にPreparedStatementが 使われているので、SQLインジェクション対策がされていると考えて 大丈夫です。 http://ml.seasar.org/archives/seasar-user/2007-March/008365.html

お， Exchange Server 2007で外部の認証機関（CA）が発行するSSL証明書を利用する際に，その証明書が複数のサブジェクト名（subjectAltNames）を持てるようになっていると，とても便利だ。なぜなら，Exchange Serverが異なる完全修飾ドメイン名（FQDN）で複…

まっちゃ 139 勉強会の裏番組． たとえ多くの人が流通するのは問題であると考えているファイルでも、それを止めることが出来ない点が問題であるとした。 確かにねぇ． 依然として続いているWinnyによる流出やその報道に対しては、「まるでお祭り騒ぎ。見物客…

土曜日はコレに出席．もう 10 回目とのことで，毎回参加させていただいてますが，非常に勉強になります．ありがとうございます．> 中の人，講師の方々，参加者の方々今回はパネルディスカッションって事で，色々話も出来て面白かったですね．河端さんは相変…

メモ． http://www.gentoo.org/proj/en/dynfw.xml http://www-128.ibm.com/developerworks/linux/library/l-fw/?n-l-4191

や，安い...でも，原告弁護団が 過去の裁判例では個人情報流出に対する賠償額は１人当たり５０００円〜１万円が一般的で、エステの内容などデリケートな情報を重く受け止めた画期的な判決 えー，やられ損だし，対策する企業の方は，これぐらいの額だったら，…

興味深い研究ですが，タイトルの「EV証明書の欠陥」ではないような．「EV証明書を使った IE7 のフィッシング対策の欠陥」なのかもしれませんが．元の論文は PIP 攻撃に対する防御の話ですよね (Abstract しか読んでませんが)．というところで，EV証明書をち…

ははは，これは笑い話ですか? 「ファイルを削除」といった音声をMP3ファイルに録音し、友達に送ります。それを友達が再生すると、マイクが認識してしまえばそのとおりに作動してしまいます。他にも「シャットダウン」なども作動するようです・・・。

ううむ，すごい．読んでる途中で斜め読みで理解出来る範囲を超えてきたので，後でゆっくり読もう... ゆっくり読んでも理解の範囲外の可能性大だけど．(^_^;)