研究者:HTTPS が「スーパークッキー」に姿を変える~あなたを守るはずのセキュリティですら悪用される可能性が(The Register)
Greenhalghは、一部のブラウザがHSTSのフラグを消去できると指摘している。そのためChrome、Firefox、Operaならば、この問題はいくらか軽減される(IEはHSTSをサポートしていない)。しかし大問題なのはSafariだ。
国際
TheRegister
RFC 6797 で解説されている HTTP Strict Transport Security(HSTS)機能は、「安全ではない HTTP バージョンのウェブサイトに訪問したユーザー」を、暗号化された HTTPS バージョンへとリダイレクトさせるためのメカニズムである。ユーザーがブラウザに http://www.google.com と入力した場合、HSTS はユーザーを https://www.google.com へ送る。
問題は「ユーザーが『https:』のサイトを訪問するたび、ユーザーエージェント(つまり、あなたの使っているブラウザ)が毎回リダイレクトしなければならないのは面倒かもしれない」と思う人物がいたことだ。そこで HSTS の作者は、訪問したサイトの HSTS ポリシーをブラウザが記憶するメカニズムを作り上げた。
関連記事
-
いますぐに SSL 3.0 を無効化せよ:邪悪なプードルが HTTPS を攻撃する~とにかく急いで取り除け、それは穴だらけのチーズだ(The Register)
-
暗号ライブラリ LibreSSL は、OpenBSD から Linux、OS X、その他に幅広く対応~大掃除した OpenSSL のフォーク、最初のクロスプラットフォーム版をリリース(The Register)
-
「まだ死にたくない」……OpenSSL が生き残りのロードマップと共に復活~Heartbleed でボロボロになった暗号化ライブラリ、健康体に戻るための長い道のりを発表(The Register)
-
いますぐパッチを:OpenSSL で発見された 6 件の新しいバグ――そこにはスパイ可能な欠陥が含まれている~Heartbleed を 1 とするなら、今回は 7(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスいつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション
毎年「夏を告げる男」として鵜飼さんのインタビューを ScanNetSecurity に掲載しているのですが今年はいつもと違う夏になりました。
-
Microsoft Windows の SharedStream ライブラリにおけるメモリ制御不備により権限昇格が可能となる脆弱性(Scan Tech Report)
2020 年 7 月に Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
-
「目的は学習」「人間は常にAIに優る」「日光浴は1日3時間以内」「年収」バウンティハンター3500名アンケート結果
人間はちっぽけな存在ではあるが、情報セキュリティ分野では AI より優れていると考えている。また、あえて現実世界に姿を現わしたり十分な陽光を浴びようとする人は少数だ。
-
Microsoft Windows の Print Spooler サービスにおけるファイル書き込み処理の不備により権限昇格が可能となる脆弱性(Scan Tech Report)
2020 年 5 月に、Microsoft Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
脆弱性「Ripple20」の対象プリンタ名公開、操作停止やメモリ破壊を引き起こす可能性(リコー)
PHP工房の複数の製品に脆弱性、意図しない操作やログインされる可能性(JVN)
夏期休暇に伴いテレワーク関連リスク注意呼びかけ(NISC)
攻撃活動が再開した「Emotet」の観測状況を公開(IPA)
Microsoft Windows の SharedStream ライブラリにおけるメモリ制御不備により権限昇格が可能となる脆弱性(Scan Tech Report)
沈静化していた「Emotet」、感染につながるメールを確認(JPCERT/CC)
インシデント・事故 記事一覧へ
「Emotetウイルス」感染、社内でやり取りしたメール内容を引用したなりすましメールを確認(加賀麩不室屋)
枕の通販サイトへ不正アクセス、カード情報が流出の可能性(Kitamura Japan)
「Classi」への不正アクセス、データの外部への漏えいを確認(Classi)
再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)
不正アクセスでユーザー情報が流出、対策としてサーバリプレイスを実施(キッチハイク)
「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)
調査・レポート・白書 記事一覧へ
ビジネスメール詐欺実態を共同分析、攻撃者の手口と素性が明らかに(マクニカネットワークス、伊藤忠商事)
子どもがSNSでトラブルに巻き込まれた経験、詐欺メール・サイトが28.3%(ニフティ)
日経225企業のセキュリティリスク調査、グローバルランキングを集計(RAPID7)
攻撃者が請求側企業の担当者になりすますBECを確認--J-CSIP運用状況(IPA)
日本はIDアクセス管理とデータ・セキュリティ対策でグローバルより遅れ(KPMGコンサルティング、日本オラクル)
脆弱性届出、製品別は「ルータ」が最多に--第2四半期レポート(IPA、JPCERT/CC)
研修・セミナー・カンファレンス 記事一覧へ
いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション
増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)
2社のソリューション連携で一貫したスキームが実現、オンラインウェビナーを合同開催(ゼットスケーラー、クラウドストライク)
初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)
初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)
CIO、CISOを対象に「川口洋座談会ウェビナー第1回」開催(イエラエセキュリティ)
製品・サービス・業界動向 記事一覧へ
テレワーク環境特化型の情報漏えいリスクアセスメント、オンライン完結も可能(BBSec)
ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)
破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)
NRIセキュアが「iTrust」取扱開始、ペーパーレス化・脱ハンコのビッグウェーブ狙う(サイバートラスト、NRIセキュア)
総務省ガイドラインの各項目チェック+コンサル、テレワーク環境の情報漏えいリスク可視化サービス(サイバートラスト、DNP)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
