Soumettre la recherche
Mettre en ligne
スマホアプリのSSLサーバ証明書の検証不備について
•
15 j'aime
•
11,462 vues
S
Shunsuke Taniguchi
Suivre
Signaler
Partager
Signaler
Partager
1 sur 17
Recommandé
Interrupt Affinityについて
Interrupt Affinityについて
Takuya ASADA
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
PHPカンファレンス2020での講演資料です。 アジェンダ 誤解1: Cookieは誤解がいっぱい 誤解2: 脆弱性があるページにのみ影響がある 誤解3: 脆弱なECサイトはセキュリティコードを保存している 誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる 誤解5: ハッシュ値で保存されたパスワードは復元されない 誤解6: 高価なSSL証明書ほど暗号強度が高い 誤解7: TRACEメソッドの有効化は危険な脆弱性である 誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する 誤解9: イントラのウェブサイトは外部からは攻撃できない 誤解10: セキュリティ情報はウェブで収集する
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
2016/01/20 GMOアドパートナーズグループ勉強会
雑なMySQLパフォーマンスチューニング
雑なMySQLパフォーマンスチューニング
yoku0825
2019/3/15のLINE Login勉強会資料
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
Twitterのsnowflakeについて
Twitterのsnowflakeについて
moai kids
セキュリティ・ミニキャンプ in 北海道 2015
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
Recommandé
Interrupt Affinityについて
Interrupt Affinityについて
Takuya ASADA
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
PHPカンファレンス2020での講演資料です。 アジェンダ 誤解1: Cookieは誤解がいっぱい 誤解2: 脆弱性があるページにのみ影響がある 誤解3: 脆弱なECサイトはセキュリティコードを保存している 誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる 誤解5: ハッシュ値で保存されたパスワードは復元されない 誤解6: 高価なSSL証明書ほど暗号強度が高い 誤解7: TRACEメソッドの有効化は危険な脆弱性である 誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する 誤解9: イントラのウェブサイトは外部からは攻撃できない 誤解10: セキュリティ情報はウェブで収集する
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
2016/01/20 GMOアドパートナーズグループ勉強会
雑なMySQLパフォーマンスチューニング
雑なMySQLパフォーマンスチューニング
yoku0825
2019/3/15のLINE Login勉強会資料
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
Twitterのsnowflakeについて
Twitterのsnowflakeについて
moai kids
セキュリティ・ミニキャンプ in 北海道 2015
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
近年、セキュリティバグの報告に対し報奨金を出す制度を設ける企業が増えてきている。私はこのバグ報奨金プログラムを介して多額の報奨金を貰っ てきた。現在は個人としてほぼ報奨金のみで生計を立てており、プロのバグハンターと言ってもいいだろう。世界でも珍しいプロのバグハンターになった 経緯、積極的参加者視点からみた制度の実際、どのようにして脆弱性を発見しているかなど、テクニカルな話題も交えながら紹介する。
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE
2014年12月11日(木) サムライインキュベート(東京都品川)19:00 ~ 22:00 Code the Clouds Mix-up Vol.2 発表資料 http://everevo.com/event/17392
Serf / Consul 入門 ~仕事を楽しくしよう~
Serf / Consul 入門 ~仕事を楽しくしよう~
Masahito Zembutsu
PHPカンファレンス2018 講演資料
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
GitFlow,GitHubFlow,GitLabFlowは使わない! gitの新しいブランチモデル「GitFeatureFlow」を 考えたので紹介します
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
naoki koyama
Spring Securityを触ったことがあるけど、裏で何が起こっているか分からず、モヤモヤしてる方にお勧めの資料です。 Spring Securityのキーとなる「Security Filter Chain」と「Security Context」についてじっくり説明しています。 本資料を読んでいただければ、Spring Securityのデバッグやカスタマイズがし易くなるはずです。 ※読者の想定としてSpring Securityに触ったことがある方を想定しています。全くの初心者の方は、簡単な認証・認可を事前に動かしてみることをお勧めします。
Spring fest2020 spring-security
Spring fest2020 spring-security
土岐 孝平
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
第50回Cocoa勉強会関西の発表資料です。
ワタシはSingletonがキライだ
ワタシはSingletonがキライだ
Tetsuya Kaneuchi
SolrとElasticsearchに関して独自の観点で比較してまとめています。 (実際に比較検討が必要な場合は、ご自身で実施されるのが良いと思います)
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
Hardware securityforum2019
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Kuniyasu Suzaki
イベント名:設立3周年記念チャリティーセミナー 講師:日本仮想化技術 宮原 日時:2010/2/6 アジェンダ: • KVMの概要 • KVM仮想マシン作成のコツ • KVMベンチマークテスト 概要: リリース直後に異例の速さでカーネルに取り込まれたKVMですが、VMwareやXenに比べて、まだまだ活用術や情報が少ないのが現状です。本セッションでは、KVMの仕組み、活用方法、性能評価の結果について解説いたします。
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
VirtualTech Japan Inc.
Apache Kafka Meetup Japan #3 https://kafka-apache-jp.connpass.com/event/58619/ 発表資料
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
libpgenというパケット操作のライブラリを作成した時の話です。 http://libpgen.org で情報発信しています。
libpgenでパケット操作
libpgenでパケット操作
slankdev
JJUG CCC 2021 Spring の発表資料です。
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
Hironobu Isoda
PHP カンファレンス 2021 で利用したスライド 発表時点から若干の加筆修正あり
PHP 8 と V8 (JavaScript) で速さを見比べてみよう!
PHP 8 と V8 (JavaScript) で速さを見比べてみよう!
shinjiigarashi
initとプロセス再起動
initとプロセス再起動
Takashi Takizawa
JAWS DAYS 2013 [DEV-02] http://jaws-ug.jp/jawsdays2013/
DynamoDBによるソーシャルゲーム実装 How To
DynamoDBによるソーシャルゲーム実装 How To
伊藤 祐策
OAuth 2.0の概要とセキュリティについて。 個人的に勉強した内容をまとめたものですが、これをベースに会社の勉強会も開催したり。
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
勉強会で分散トレーシング技術について調査した内容を発表した資料です。OpenTracingやJaegerなどについてのざっくりとした解説などを行っています。
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
ソフトウェアテストシンポジウム 2014 北海道基調講演 2014年9月5日(金)
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
Takuto Wada
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
KOF2014セミナー企画での講演資料です.
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
JavaDayTokyo2015 での講演資料です.
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
Contenu connexe
Tendances
近年、セキュリティバグの報告に対し報奨金を出す制度を設ける企業が増えてきている。私はこのバグ報奨金プログラムを介して多額の報奨金を貰っ てきた。現在は個人としてほぼ報奨金のみで生計を立てており、プロのバグハンターと言ってもいいだろう。世界でも珍しいプロのバグハンターになった 経緯、積極的参加者視点からみた制度の実際、どのようにして脆弱性を発見しているかなど、テクニカルな話題も交えながら紹介する。
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE
2014年12月11日(木) サムライインキュベート(東京都品川)19:00 ~ 22:00 Code the Clouds Mix-up Vol.2 発表資料 http://everevo.com/event/17392
Serf / Consul 入門 ~仕事を楽しくしよう~
Serf / Consul 入門 ~仕事を楽しくしよう~
Masahito Zembutsu
PHPカンファレンス2018 講演資料
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
GitFlow,GitHubFlow,GitLabFlowは使わない! gitの新しいブランチモデル「GitFeatureFlow」を 考えたので紹介します
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
naoki koyama
Spring Securityを触ったことがあるけど、裏で何が起こっているか分からず、モヤモヤしてる方にお勧めの資料です。 Spring Securityのキーとなる「Security Filter Chain」と「Security Context」についてじっくり説明しています。 本資料を読んでいただければ、Spring Securityのデバッグやカスタマイズがし易くなるはずです。 ※読者の想定としてSpring Securityに触ったことがある方を想定しています。全くの初心者の方は、簡単な認証・認可を事前に動かしてみることをお勧めします。
Spring fest2020 spring-security
Spring fest2020 spring-security
土岐 孝平
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
第50回Cocoa勉強会関西の発表資料です。
ワタシはSingletonがキライだ
ワタシはSingletonがキライだ
Tetsuya Kaneuchi
SolrとElasticsearchに関して独自の観点で比較してまとめています。 (実際に比較検討が必要な場合は、ご自身で実施されるのが良いと思います)
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
Hardware securityforum2019
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Kuniyasu Suzaki
イベント名:設立3周年記念チャリティーセミナー 講師:日本仮想化技術 宮原 日時:2010/2/6 アジェンダ: • KVMの概要 • KVM仮想マシン作成のコツ • KVMベンチマークテスト 概要: リリース直後に異例の速さでカーネルに取り込まれたKVMですが、VMwareやXenに比べて、まだまだ活用術や情報が少ないのが現状です。本セッションでは、KVMの仕組み、活用方法、性能評価の結果について解説いたします。
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
VirtualTech Japan Inc.
Apache Kafka Meetup Japan #3 https://kafka-apache-jp.connpass.com/event/58619/ 発表資料
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
libpgenというパケット操作のライブラリを作成した時の話です。 http://libpgen.org で情報発信しています。
libpgenでパケット操作
libpgenでパケット操作
slankdev
JJUG CCC 2021 Spring の発表資料です。
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
Hironobu Isoda
PHP カンファレンス 2021 で利用したスライド 発表時点から若干の加筆修正あり
PHP 8 と V8 (JavaScript) で速さを見比べてみよう!
PHP 8 と V8 (JavaScript) で速さを見比べてみよう!
shinjiigarashi
initとプロセス再起動
initとプロセス再起動
Takashi Takizawa
JAWS DAYS 2013 [DEV-02] http://jaws-ug.jp/jawsdays2013/
DynamoDBによるソーシャルゲーム実装 How To
DynamoDBによるソーシャルゲーム実装 How To
伊藤 祐策
OAuth 2.0の概要とセキュリティについて。 個人的に勉強した内容をまとめたものですが、これをベースに会社の勉強会も開催したり。
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
勉強会で分散トレーシング技術について調査した内容を発表した資料です。OpenTracingやJaegerなどについてのざっくりとした解説などを行っています。
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
ソフトウェアテストシンポジウム 2014 北海道基調講演 2014年9月5日(金)
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
Takuto Wada
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
Tendances
(20)
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
Serf / Consul 入門 ~仕事を楽しくしよう~
Serf / Consul 入門 ~仕事を楽しくしよう~
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
Spring fest2020 spring-security
Spring fest2020 spring-security
最近のやられアプリを試してみた
最近のやられアプリを試してみた
ワタシはSingletonがキライだ
ワタシはSingletonがキライだ
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
libpgenでパケット操作
libpgenでパケット操作
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
オンライン広告入札システムとZGC ( JJUG CCC 2021 Spring )
PHP 8 と V8 (JavaScript) で速さを見比べてみよう!
PHP 8 と V8 (JavaScript) で速さを見比べてみよう!
initとプロセス再起動
initとプロセス再起動
DynamoDBによるソーシャルゲーム実装 How To
DynamoDBによるソーシャルゲーム実装 How To
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
En vedette
KOF2014セミナー企画での講演資料です.
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
JavaDayTokyo2015 での講演資料です.
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
タイトル: 『OpenID ConnectとAndroidアプリのログインサイクル』 概要: GoogleやFacebook、Yahoo! JAPANの提供するOAuth、OpenID Connectのシングルサインオン(SSO)を利用する上でトークン、ログイン状態の管理が必要になります。ログイン、ログアウトに加えアプリによってはマルチアカウント利用やアカウント切り替えを必要とするケースもあります。スマフォアプリではネイティブ、WebViewでSSOの認証方法が異なり、実装パターンは多岐にわたります。 これまでID連携の設計や実装サポートしてきたナレッジをもとに、AndroidアプリにおけるSSOからログイン状態の管理まで、アプリの要件にあった実装方法をご紹介します。 Developers Summit 2015 【19-C-5】 Feb. 19, 2015 URL: http://event.shoeisha.jp/devsumi/20150219/session/654
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
Fiddler Script デモです。
Fiddler Scriptデモ
Fiddler Scriptデモ
hagurese
spring day 2016
Lineにおけるspring frameworkの活用
Lineにおけるspring frameworkの活用
Tokuhiro Matsuno
[参考情報] 【永久保存版】OAuth 2.0 / OpenID Connect シーケンスまとめ URL:https://qiita.com/kura_lab/items/812a62b5aa3427bdb49d タイトル: 『OpenID Connect 入門 〜コンシューマー領域におけるID連携のトレンド〜』 概要: コンシューマー領域におけるID連携のトレンドであるOpenID Connectの概要と仕様のポイントについてご紹介します。 OpenID TechNight Vol.13 - ID連携入門 Aug. 26, 2015 URL:https://openid.doorkeeper.jp/events/29487
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
2013/6/30開催「Fiddler ユーザーの集い」で発表したセッションのスライドです。
今から始めるFiddler script
今から始めるFiddler script
彰 村地
OAuth2.0まとめ speakerdeck はこちら↓ https://speakerdeck.com/satot/jin-geng-wen-kenaioauth2-dot-0#
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
タイトル: 『これからのネイティブアプリにおけるOpenID Connectの活用』 概要: 近年モバイルアプリケーションの多くはログインを必須としています。自社他社提供のWeb APIの利用にあたりクライアントサイド、サーバーサイドのそれぞれにおいて認証の仕組みを理解し、正しい認証の実装が求められます。 本セッションではユーザーとデバイスの2つの視点でモバイルにおける認証をご紹介します。 ユーザー認証のパートでは、OAuth 2.0ベースのID連携の問題点に触れ、その課題を解決するためのOpenID Connectの仕様について解説します。 デバイス認証のパートでは、スマートフォンやタブレットを識別するための仕様の解説と活用方法について解説します。 Developers Summit 2014 【13-C-5】 Feb. 13, 2014 URL: https://event.shoeisha.jp/devsumi/20140213/session/383/
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
En vedette
(9)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Fiddler Scriptデモ
Fiddler Scriptデモ
Lineにおけるspring frameworkの活用
Lineにおけるspring frameworkの活用
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
今から始めるFiddler script
今から始めるFiddler script
今更聞けないOAuth2.0
今更聞けないOAuth2.0
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
スマホアプリのSSLサーバ証明書の検証不備について
1.
1 スマホアプリのSSLサーバ 証明書の検証不備について 谷口 隼祐
2.
2 自己紹介 最近行った、牛久大仏 がんばれ!茨城県
3.
なぜ、今回OWASP Nightで話そうと 思ったのか? 3 とあるアプリの脆弱性がJVN公表された際のコメントがきっかけ SSL通信周りの脆弱性判断は、判断のブレが大きい印象 現状では「SSLを使ってない=脆弱性」とは言い難い(個人見解) ただし、スマホ周りを取り巻く環境の変化によって、脆弱性判断 も変わっていくかもしれない… この発表が、脆弱性判断の議論の材料になればいいな
4.
4 いざ勢いで申し込んだものの _人人人人人人人人人人人_ > 大御所に挟まれてる! <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄ _人人人人人人人人人人人_ >
まさかのギリギリ補欠!! <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄
5.
5 SSLで通信しないことは脆弱性か? SSLは「お・も・て・な・し」 現状では、SSLで通信しないことだけを以って脆弱性とはいえない SSLで通信の安全性を高めるか否かは、サービス提供者のポリシー 次第 ⇒ 脆弱性対策の実施とはまた別の話 利用者としては、より安全なサービスを使いたいので、サービス 提供者は積極的にセキュリティポリシーを公開するとよいと思う ここでの脆弱性の定義は、「情報セキュリティ早期警戒パートナーシップガイド ライン」に準拠することにします。 定義の詳細は、下記ガイドラインを参照ください。 http://www.ipa.go.jp/files/000002991.pdf
6.
では、脆弱性と判断できる例って? (ウェブサイト編) セキュリティポリシーに違反している 6 ポリシーでSSLで通信するといいつつ、実際には平文通信 SSLが適切に使われていない サーバ証明書の有効期限が切れている オレオレ証明書を使っている フォームの送信先はSSLを使っている(https)が、フォームの設置 ページにはSSLを使っていない(http) [ご参考] HTTPSを使う際に入力フォームのページからそうしないといけない理由はなんですか- QA@IT http://qa.atmarkit.co.jp/q/2028
7.
では、脆弱性と判断できる例って? (ソフトウェア編) セキュリティポリシーに違反している 7 ポリシーでSSLで通信するといいつつ、実際には平文通信 SSLが適切に使われていない ソフトウェア側でSSLサーバ証明書を適切に検証していない SSL通信に暗号化のみを求めて、当該処理を実装している可能性 開発時やデバッグ用に一時的にオレオレ証明書を許可していたのを忘 れてリリースしてしまった可能性 接続先のサーバの正当性を確認しなければ、安全な通信 は実現できない
8.
8 SSLサーバ証明書の検証不備とは 不正な SSL サーバ証明書を使用 しているサーバであっても警告 を出さずに接続してしまう問題 中間者攻撃
による通信の盗聴や 改ざんなどが行なわれても、 ユーザが気づけない 出典:JVNDB-2012-000037 - JVN iPedia - 脆弱性対策情報データベー ス http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000037.html
9.
9 JVN公表されたアプリ 公開日 JVN番号 アプリ名 アプリ種類 2013/08/19 JVN#75084836 Yahoo!ショッピング Androidアプリ 2013/08/19 JVN#68156832 ヤフオク! iOS/Androidアプリ 2013/06/07 JVN#39218538 ピザハット公式アプリ Androidアプリ 2012/05/25 JVN#39707339 Opera 2012/04/26 JVN#82029095 spモードメールアプリ Androidアプリ 2008/04/23 JVN#76788395 mylo
COM-2 ブラウザ 組み込みブラウザ JVN公表されたアプリは対策済み ベンダが対策してくれたからこそ、JVN公表できている ベンダ自身が届出をしてくることもある ベンダ自身が届出をしたのかどうかは、IPAからのメールで判別可能
10.
10 検証環境 スマートフォン Nexus7(Android4.3) iPhone5s(iOS7.0.3) プロキシ(ノートPC)経由で無線LAN接続する ノートPC Fiddler リモートからのFiddlerへのアクセスを許可 HTTPSをキャプチャする
11.
11 アプリの挙動(証明書検証不備) キャプチャした通信に、HTTPS通信が混じっている エラーが発生せずに、いつも通りにアプリが使える
12.
12 アプリの挙動(証明書エラー) 証明書に関するエラーを表示する アプリ起動時に証明書に関するエラー メッセージを表示し、アプリを終了する 証明書に関するエラーメッセージを表示し、 アクセスするか否かを利用者に選択させる
13.
13 アプリの挙動(その他エラー) 証明書に関するエラーではないものの、通信処理にエラーが発 生した旨をメッセージを表示する アプリ起動時にエラーメッセージを表示し、アプリを終了する SSL通信のページのみ表示されない
14.
14 検証した結果 証明書の検証に不備のあるアプリ 約30アプリ中、2アプリに証明書の検証不備があった 証明書を検証するアプリ 証明書を検証し、問題があればエラーメッセージを出すアプリは多いものの、 証明書に問題があることを通知するアプリは少なかった エラーメッセージの内容によっては、電波が悪かったり、サーバメンテナンス 等の問題と捉えられかねないものもあった (攻撃は防ぐことはできているが)利用者は攻撃されている可能性に気 づけない。メッセージ内容はこれでいいのか?
15.
15 スマホアプリを取り巻く状況 公衆無線LANサービスの利用が一般的になってきた 信用のおけない無線LANアクセスポイントに接続するリスクが増えた スマホアプリにはアドレスバーがないものが多い 利用者が能動的に接続先や接続プロトコルを確かめることが困難である 利用しているスマホアプリを信用するしかない 常時SSLを提供するサービスが増えてきた そのようなサービス用のクライアントアプリは対応が必須 冒頭で、SSLは「お・も・て・な・し」と言いましたが、こと スマホアプリにおいては、必須になっていくかもしれません
16.
16 ご参考 出典:ソニーデジタルネットワークアプリケーションズ株式会社 Android アプリ脆弱性調査レポート 2013年10月版(pdf) http://www.sonydna.com/sdna/solution/android_vulnerability_report_201310.pdf
17.
17 まとめ SSLを使用するならば、適切に使用しましょう スマホアプリを取り巻く状況を鑑み、積極的にSSLを使用してい きましょう 証明書に関するエラーを表示する際には、どのようなメッセー ジがよいのか意見募集中 利用者が安全でない環境でネットワーク接続している可能性を伝えるとよ い?それとも、単純にエラーが出た旨だけ伝えるほうがよい? って今日の話、1年以上前に徳丸さんが日記にほぼ書いてますやん orz スマートフォンアプリケーションでSSLを使わないのは脆弱性か | 徳丸浩 の日記 http://blog.tokumaru.org/2012/02/is-smartphone-application-without-ssl.html