研究者:HTTPS が「スーパークッキー」に姿を変える~あなたを守るはずのセキュリティですら悪用される可能性が(The Register)
Greenhalghは、一部のブラウザがHSTSのフラグを消去できると指摘している。そのためChrome、Firefox、Operaならば、この問題はいくらか軽減される(IEはHSTSをサポートしていない)。しかし大問題なのはSafariだ。
国際
TheRegister
RFC 6797 で解説されている HTTP Strict Transport Security(HSTS)機能は、「安全ではない HTTP バージョンのウェブサイトに訪問したユーザー」を、暗号化された HTTPS バージョンへとリダイレクトさせるためのメカニズムである。ユーザーがブラウザに http://www.google.com と入力した場合、HSTS はユーザーを https://www.google.com へ送る。
問題は「ユーザーが『https:』のサイトを訪問するたび、ユーザーエージェント(つまり、あなたの使っているブラウザ)が毎回リダイレクトしなければならないのは面倒かもしれない」と思う人物がいたことだ。そこで HSTS の作者は、訪問したサイトの HSTS ポリシーをブラウザが記憶するメカニズムを作り上げた。
関連記事
-
いますぐに SSL 3.0 を無効化せよ:邪悪なプードルが HTTPS を攻撃する~とにかく急いで取り除け、それは穴だらけのチーズだ(The Register)
-
暗号ライブラリ LibreSSL は、OpenBSD から Linux、OS X、その他に幅広く対応~大掃除した OpenSSL のフォーク、最初のクロスプラットフォーム版をリリース(The Register)
-
「まだ死にたくない」……OpenSSL が生き残りのロードマップと共に復活~Heartbleed でボロボロになった暗号化ライブラリ、健康体に戻るための長い道のりを発表(The Register)
-
いますぐパッチを:OpenSSL で発見された 6 件の新しいバグ――そこにはスパイ可能な欠陥が含まれている~Heartbleed を 1 とするなら、今回は 7(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
特集ここが変だよ日本のセキュリティ 第39回 「セキュリティがときめく片付けの魔法」
こんまりメソッドの片付けの手法でセキュリティ対策を片付けて、セキュリティでときめくことはできないか、考えてみたよ。
-
未来はAIでも予測不能:セキュリティ対策で問われる「パスカルの賭け」
確率論の議論でも取り上げられる「パスカルの賭け」をサイバーセキュリティに当てはめるとどうなるのだろうか。そんな野心的な講演が「Security Days Spring 2019」の1コマで行われた。
-
Google を提訴したテクニカルディレクターが語る性差別と報復人事(The Register)
女性テクニカルディレクターが Google を提訴した。同じ地位の男性よりも給与が少なく、当人の方が熟練しているポストに適格性に劣る男性を昇進させた、と主張している。
-
米国防総省がサプライチェーン保護のセキュリティ認証公開 ほか ~ 2019 年 9 月のふりかえり [Scan PREMIUM Monthly Executive Summary]
米国防総省はサプライチェーンに関連した脅威を重く受け止め、ペンタゴンの機密データを扱う請負業者向けに Cybersecurity Maturity Model Certification ( CMMC )を公開しました。複雑でクモの巣のようなサプライチェーンを隅々まで保護することを目的としています。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「Pulse Secure SSL VPN」に任意コマンド実行など複数の脆弱性(JVN)
BIND 9.xに2つの脆弱性、アップデートを呼びかけ(JPRS、JVN)
インシデント21%、フィッシングサイト46% 報告件数増加(JPCERT/CC)
Oracleが複数製品のパッチアップデート公開(JPCERT/CC、IPA)
「Adobe Reader」「Acrobat」のアップデートを公開(JPCERT/CC、IPA)
「NetCommons3」にスクリプト実行の脆弱性(JVN)
インシデント・事故 記事一覧へ
補助金申請書類を申請事業所からの提出過程で紛失(新潟県)
平成21年度契約分の市有地売買契約書を紛失(大阪市)
麻薬研究者免許証を異なる申請先に誤送付(大阪府)
「Ameba」検証作業用の内部資料を誤ってインターネット上で公開(サイバーエージェント)
運営する複数のECサイトからカード情報が流出、2014年1月の決済から対象に(JIMOS)
県立高校2校で答案用紙を紛失、成績一覧表のホワイトボードへの誤表示も発生(岐阜県)
調査・レポート・白書 記事一覧へ
IoT機器によるDDoS攻撃の代行は月額40ドル--地下市場調査(トレンドマイクロ)
企業のセキュリティインシデント被害額、4年連続で2億円を超える(トレンドマイクロ)
旅館業を狙うSQLインジェクション攻撃を多数検知(ラック)
日本企業、サイバーセキュリティの最大の不満は「予算不足」(ソフォス)
ラテラルフィッシング攻撃の詳細を調査したレポート公開(バラクーダネットワークス)
産業制御システムへの攻撃にも使えるツールが一般サイトで販売(トレンドマイクロ)
研修・セミナー・カンファレンス 記事一覧へ
「CYBER DEFENSE LIVE TOKYO 2019」を11月14日に開催(ファイア・アイ)
PCI DSSの要件を満たすWebアプリのペネトレーションテストとは、研修コース開催(fjコンサルティング)
未来はAIでも予測不能:セキュリティ対策で問われる「パスカルの賭け」
今年は2日間、JPAAWG第2回ジェネラルミーティング11月14、15日に開催
ソリトン認証伝説 第二章「クラウド ID 管理編」堂々スタート
「Trend Micro DIRECTION」の全講演を発表(トレンドマイクロ)
製品・サービス・業界動向 記事一覧へ
監視カメラが撮影した顔画像のプライバシー保護技術提供、欧州GDPR規制等 背景(凸版印刷)
「地政学的リスクや、ハクティビストなどは十分に考慮に入れて欲しい」日本を取り巻くサイバー脅威を CrowdStrike が解説
脅威ハンティングから検知・対応まで、フルマネージドサービス提供開始(ソフォス)
個人情報の誤表示についてAmazonへ注意(個人情報保護委員会)
サプライチェーンを含みセキュリティ対策状況を可視化するサービス(CTC)
IoT向けにプログラム改ざん検知ソフト、容量3KB(NEC)
おしらせ 記事一覧へ
ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
