Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

第29回(2021/10/12) #28

Closed
kdnakt opened this issue Oct 4, 2021 · 8 comments
Closed

第29回(2021/10/12) #28

kdnakt opened this issue Oct 4, 2021 · 8 comments

Comments

@kdnakt
Copy link
Owner

kdnakt commented Oct 4, 2021

プロフェッショナルSSL/TLS p.146〜を読みます
@kdnakt
Copy link
Owner Author

kdnakt commented Oct 7, 2021

https://portswigger.net/daily-swig/firefox-93-lands-with-http-download-blocking-new-user-privacy-features

Firefox 93 (2021/10/05)での変更点

  • HTTPSのページからHTTPのダウンロードをブロック
  • サンドボックスiframeからのダウンロードもデフォルトではブロック
  • トリプルDESアルゴリズムをデフォルトで無効化
  • SmartBlock 3.0

mixed contentsへの対応が進んでいるのが見える

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 10, 2021
edited

https://therecord.media/nsa-warns-of-alpaca-tls-attack-use-of-wildcard-tls-certificates/

ALPACA攻撃について(復習)

  • ワイルドカード証明書については色々と危険性が指摘されている:特に複数サーバーでの利用について
  • ALPACA攻撃:暗号化されたHTTPS通信をFTPなどの暗号化されていないプロトコルで返信する中間者攻撃、ワイルドカード証明書を利用している場合に特に問題になりやすい。
  • 研究者らによれば、約12万台のWebサーバーがこの攻撃に脆弱である
  • Chrome 93ではFTPで使われる989/990ポートをブロック

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 11, 2021

https://github.blog/2021-08-23-npm-registry-deprecating-tls-1-0-tls-1-1/

npmへの接続がTLS1.2以上になっていたらしい(2021/10/04〜

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 11, 2021

KEMTLSというのがあるらしい

https://scrapbox.io/layerx/KEMTLS:_%E7%BD%B2%E5%90%8D%E3%82%92%E9%8D%B5%E4%BA%A4%E6%8F%9B%E3%81%AB%E7%BD%AE%E3%81%8D%E6%8F%9B%E3%81%88%E3%81%9F%E9%87%8F%E5%AD%90%E8%80%90%E6%80%A7%E3%81%AE%E3%81%82%E3%82%8BTLS

TLS1.3の理解が必要なので、いったんパス...

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 11, 2021

https://twitter.com/herumi/status/1446343788423647232?s=21

技術評論社のGihyo Digital Publishing 10周年記念で1500円以上購入すると1000円キャッシュバックだそうです(年内)。
https://gihyo.jp/book/sp/gdp10th#campaign2

技術評論社から『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』(長いので #暗認本 )が発売されます(電子版9/17, 紙版9/24)。https://gihyo.jp/book/2021/978-4-297-12307-9
公開鍵暗号や署名の基本からTLS 1.3やFIDOなどの解説、ブロックチェーンや秘密計算、ゼロ知識証明などの紹介もします。

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 11, 2021

image

scrapbox.ioの証明書がまさに2021/09/30で有効期限の切れたLet's EncryptのDST Root CA X3を使っているっぽい。
しかしChromeで普通にエラーなしに開けるのはもう一方のルート証明書が利用できてるからか?ならばなぜ証明書チェーンはエラーになるのだろう?

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 12, 2021

https://qiita.com/TTakakiyo/items/d0c932f4f5e5586cae06

WebSphereが使っている証明書についての昔話

@kdnakt
Copy link
Owner Author

kdnakt commented Oct 12, 2021

p.150まで

@kdnakt kdnakt closed this as completed Oct 12, 2021
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@kdnakt