日々学んだことを残しておこう。きっと未来の自分が探しにくる。 (ただ忘れっぽいだけです…)

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
-------- : スポンサー広告 :
Pagetop

chrome アドレスバー https 赤斜線をなくす方法(CSRをSHA-2でハッシュ化)


運用しているWebサービスをSSL証明書とってHTTPS通信にしているんだけど、Chromeでアクセスすると、アドレスバーのhttps:の部分に赤線の斜線が、ちょっと前から表示されていた。

せっかく、お金払ってSSL証明書とってhttp通信からhttps通信でセキュアにしているというのに、逆に全然セキュアっぽくなくなってしまっている。

今回の原因は、SSL証明書作成時に必要なCSRを作成するときにSHA-1でハッシュ化しているのが原因ということ。
今のところGoogleさんはSHA-1を段階的に廃止していって、SHA-2(256)に変更していって欲しいメッセージということか。

ということで、CSRを再作成する。
(参考サイト)
Windows環境でCSR作成する方法(OpenSSL)

そして、ELBにSSL証明書を再セットした。
(参考サイト)
AWS ELBのSSL証明書を更新する方法

ChromeでWebサービスにアクセスしても、アドレスバーのhttps部分が緑色の鍵マークになりました。
めでたし、めでたし。


(参考サイト)
Google ChromeがSHA-1に対して警告
[3]SSL証明書、2010年問題以来の危機
スポンサーサイト
2015-06-10 : セキュリティ : コメント : 0 : トラックバック : 0
Pagetop

Buffalo 無線Lanルーター同時接続数の調べ方


Buffaloの無線LANルーター(WZR-450HP)を使っているんだけど、家の中で、ノートPC、タブレット、プリンターとか増えてきて、一体何台接続しているのか把握したいなと。

使っている無線Lanルーターは↓
WZR-450HP

箱には、AES暗号使用している場合の最大接続台数は12台までと書いてあるので、もしギリギリならもう少し上のスペックにしないといけないし。

Buffalo無線Lanルーター接続数チェック方法


ルーター管理サイトにアクセス

水平メニューの[ステータス]

[クライアントモニター]

接続しているホスト名とかが確認できる。

[現在の状態を表示]クリックで、更新される。

ちゃんと、スマホのWifiオン・オフで表示切り替わりますね。

6台接続中だった。
まだ余裕ありそうなのでこのままで良さそうだ。

ちょっとわかりにくかったので、メモでした。
2014-09-10 : セキュリティ : コメント : 0 : トラックバック : 0
Pagetop

第4回名古屋情報セキュリティ勉強会に行ってきた


セキュリティセキュリティ / Norisa1


2012/9/8に名古屋大学で「第4回名古屋情報セキュリティ勉強会」があったので行ってきた。

名古屋情報セキュリティ勉強会は私は第2回から参加しはじめて、その後は毎回参加している。
今回の第4回のテーマは「みんな苦労しているセキュリティ予算の勝ち取り方!(通称:上司Hacks)」
講師:株式会社ディアイティ 河野 省二さん

最初のスライドからこちらの内容。

情報セキュリティは絶対に必要です
って言ってる奴はバカ

おー、何か過激になりそうなにおいがプンプンしてしてきた。
詳細はツイートまとめでということで

ツイートまとめはこちら
第4回名古屋情報セキュリティ勉強会 #nagoyasec

資料はリンクページの末尾のPDFでした。

河野さん絶賛の上司とかに説得するうえで役立つと紹介された本「パターソンの営業法則」を早速入手。
明日から読んで、マスターしよっと。
パターソンの営業法則
2012-09-17 : セキュリティ : コメント : 0 : トラックバック : 0
Pagetop

Twitterのパスワードを変更する方法


TwitterTwitter / eldh


ツイッターのパスワード変更しようとした経緯


本日こんな記事がでていた。
Twitter、パスワードが大量流出

影響を受けたアカウント数を5万5000件以上と試算しているとのこと。
ツイッターの全ユーザ数からみれば割合は少ないから、自分のパスワードが流出しているとは思えないけど、なんか気持ちが悪いね。

せっかく、10文字以上の難解なパスワードにしておいたんだけど、流出したら無意味だよな。。。
そもそも、暗号化して保存していないのかな?

やっぱり、各サービスでこのような流出などある可能性は否定できないから、サービス毎でパスワードを変えるに限る。
同じパスワード使っていると、gmailだとかいろいろアタックされちゃうしね。

ちなみに徳丸さんが流出したパスワードを分析しています。
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した

ひとまず、パスワード変えておこうっと。

Twitterのパスワードの変更のしかた


ログイン後の説明です。
[ホーム]

検索フォームの隣に人影みたいなアイコンクリックして、[設定]クリック。

ユーザ情報が表示されます。
(結構探しちゃったけど、ここにはパスワードはありません。)

左側のメニューに[パスワード]メニューがあるので、クリック。
(すぐに見つからなかったです。)

現在のパスワードと新しいパスワード(再入力も)を入力して[変更を保存]をクリックすればOKです。
2012-05-09 : セキュリティ : コメント : 0 : トラックバック : 0
Pagetop

第3回名古屋情報セキュリティ勉強会行ってきた



Crackers / elhombredenegro


本日、第3回名古屋情報セキュリティ勉強会行ってきました。

今回のテーマはパスワード管理について

まず、NTTデータ先端技術株式会社 辻さん@ntsuji
「パスワードは定期的に変更すべきか?」
という題で講演。


ペネトレとは


辻さんの最初の自己紹介で、「ペネトレ」していますって。
ん、ペネトレ??
私は恥ずかしながら今日はじめてペネトレって単語を聞きました。
何かのトレーニングかな。。。

ペネトレーションテスト(penetration test)の略で、日本語では、「侵入試験」、「セキュリティ診断」のことだそうです。

依頼されたサービスや会社のシステムの脆弱性を探すらしい。合法ハッカーって感じかな?
こんな脆弱性ありますよ、こんな風に直して下さいとレクチェ-するお仕事らしい。

ペネトレで発見される脆弱性の中で、危険度「高」でNo1なのは、パスワード関連で7割を占めるそうだ。

ちなみに、脆弱性を発見することを、そっち系の方は「ササる」というらしい。

実践 Metasploit ―ペネトレーションテストによる脆弱性評価
興味ある方はこれを読むと良いかも。


パスワードクラッカー



Hacker Stock Photo / devdsp


パスワードクラッカーも大きく2つあり、オンラインパスワードクラッカーとオフラインパスワードクラッカーがあるそうです。
代表的なものは以下の通り。
■オンラインパスワードクラッカー
・thc-hydra
・medusa
・ncrack

各手法での性能比較していて、プロトコル別にクラックする速度や安定性をまとめていた。

■オフラインパスワードクラッカー
・john the ripper
・rainbowcrack


パスワードクラックへの有効な対策



Keys / Moyan_Brenn


一般的には、強固なパスワードにしましょう。定期的に変更しましょうと言われている。

辻さんいわく、定期的に変更するより、文字の桁数や文字種を増やすほうが効果的。
また、サービス利用者というよりサービス提供者が施すことになるが、アカウントロック機能が有効。
5回連続間違えたら10分ロックされるみたいなものです。

何回か連続で間違えたら、ユーザにメールするなど早期発見のしくみが大事で、サーバ管理者はアクセスコントロールを再チェックすること。

パスワードの定期変更が脅威を生む可能性もある。
変更を繰り返すうちに「覚えやすい」ものになったり、同一のパスワードを使いまわしたりしてしまって、余計に危険になる。

事例紹介



Anonymous en la operación Goya / gaelx


ANONYMOUSがHBGary Federal(HBGF)をこてんぱんにした流れを説明。
SQLインジェクションから始まって、パスワードばれて、gmailパスワードも使いまわしていたので、ソーシャルハッキングされて、…、権限奪取。

結局どうするか


「めっちゃ気をつける!」だって。

えっ、そんな。。。

パスワード管理ソフトを使うのもオススメと。


グループディスカッション


それぞれのパスワード管理のしかたや悩んでいることを議論。

業界によって全然情報管理も考え方が違うのに驚き。
携帯カメラNGだとかかなり厳格な業種もあるんだね。

私はなんて管理が緩い業界にいたのか再認識。。。

パスワードやセキュリティのルールも聞けて非常におもしろかった。

おまけ


もちろん、ケーキ、いちごだいふく美味しかったです。
写真取り忘れた。。。↓のtogetterにいっぱい画像あるのでそちら参照のこと。


辻さんの話はむっちゃ面白かったし、今回も非常に有意義な勉強会だった。


つぶやきまとめはこちら
http://togetter.com/li/291145
2012-04-21 : セキュリティ : コメント : 0 : トラックバック : 0
Pagetop
ホーム  次のページ »

広告

読みたいと思っている書籍

Amazon Web Services クラウドネイティブ・アプリケーション開発技法 一番大切な知識と技術が身につく Amazon Web Services 定番業務システム12パターン 設計ガイド イラストで学ぶ 機械学習 最小二乗法による識別モデル学習を中心に (KS情報科学専門書) イラストで学ぶ ディープラーニング (KS情報科学専門書)

カウンタ

メールフォーム

名前:
メール:
件名:
本文:

GoogleTranslate

管理人のつぶやき

人気記事ランキング

カテゴリ

openclose

ブログ内検索

全記事表示リンク

全ての記事を表示する

ブログパーツ
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。