Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2016年4月20日
WordPress のサイトを 完全 HTTPS 化してみた

 はじめに 無償の SSL/TLS 証明書である Let’s Encrypt が正式リリースされたことにより、これから個人ブログなど多くのサイトが HTTPS 化していくと思われます。 というのも、サイトの HTTPS 化は通信を暗号化することで、改ざんされてないデータを送受信できるメリット以外に、Google が SEO に有利になると明言しているためです(若干らしい)。 しかし、...
>>続きを読む

2016年4月18日
CNET のログイン画面がセキュリティ的にとてもいけてない件

たまたま見つけたのですが、CNET の会員ログイン画面がセキュリティ的にとてもいけていません。 具体的には以下のようになります。   このポップアップされたログイン画面は HTTP で暗号化されないで表示されているので改ざんされるリスクがあります。 また、ソースコードを見る限り、ログイン先のアドレスは HTTPS で暗号化されてはいますがユーザーがそれを確認するにはソースコードを読む必要がありま...
>>続きを読む

2016年4月18日
一部の IT ベンダーは自分が認証局になって SSL/TLS 証明書を発行しているみたい

Gmail の SSL/TLS 証明書の認証情報を確認していて気がついたのですが、一部の IT ベンダーは自分が認証局になって SSL/TLS 証明書を発行しているっぽいですね。 いくつか見てみましょう。 まずは、Google の Gmail で使用されている SSL/TLS 証明書の認証情報です。 発行元が Google Inc になっていて、しかもワイルドカード認証になっていますね。これなら ...
>>続きを読む

2016年4月13日
無料SSL/TLS証明書のLet's Encryptが正式版になったので自動更新を含めて試してみた

はじめに 2016年10月1日追記: Let's Encrypt の実行方法が変更になったので、以下の記事を参考にするようにしてください。なお、この記事の方法も継続して実行できるので、既に設定された方は変更する必要はありません。 無償SSL/TLS証明書の Let’s Encrypt の設定が劇的に簡単になっていた 追記ここまで。   Let’s Encr...
>>続きを読む

2016年4月7日
オープンソースのIDSであるOSSECを試してみた

警告 記事を書いた後に公開された情報ですが、OSSEC は脆弱性が発見されている上、すでにメンテナンス終了しているようなので利用は非推奨となります。 【セキュリティ ニュース】オープンソースIDS「OSSEC」向けウェブUIに脆弱性 - 利用は非推奨(1ページ目 / 全1ページ):Security NEXT はじめに Sucuri というセキュリティ企業が、 3月17日(米国時...
>>続きを読む