-
HiromitsuTakagi
- 35917
- 2
- 160
- 103
-
- いいね!103
Hiromitsu Takagi
@HiromitsuTakagi
あなたの利用サイト、クッキーにセキュア付いてます? Safariで確認 ①ログインし、登録情報変更の画面へ行き、https://であることを確認 ③コマンド+オプション+Iで「Webインスペクタ」を表示 ④リソースでcookieを選ぶ ⑤「保護」にチェック有りが1個以上あるか
2014-12-14 23:35:37
ナカムラッコ
@nakamurakko
ANAから「パスワード変更するためにログインしてね」って連絡来てるけど、ログインIDとパスワードはSSLで暗号化していないトップページで入力する事になっている…
2014-09-05 12:09:06
くろにゃ 🍡🍨🐈⬛✈️🚄✨🌟☀💫️🐾🌸
@kuro_central
それ言ったらANAもIDとパスワード突っ込むページが非SSLなのでデータ暗号化されずにIDとパスワードをネットに流してるのでアレ…航空会社に有識者いないの?
2014-09-30 11:56:20
Satoshi Kato
@katoSat
ジワジワ来る講演だな。ああ「取り組み中」なのか。”ANAグループ全体の「セキュリティ・センター」としての取り組み - ANAグループにおけるセキュリティ対策 - “ itmedia.smartseminar.jp/public/applica…
2014-12-08 11:07:09
Hiromitsu Takagi
@HiromitsuTakagi
トップページのパスワード入力画面がhttps://になっておらず、パスワードが暗号化されずに送信されるのを防止していない。ログイン後はトップページに行くとhttps://に強制リダイレクトされるので、初めからできることやっていない。 pic.twitter.com/sK72ivzhCJ
2014-12-13 16:00:42
拡大
Hiromitsu Takagi
@HiromitsuTakagi
しかも、cookieの発行が、secure指定したものが一個もない。ログイン中なのに。基本的なWebアプリケーション脆弱性の知識がない(情報処理技術者試験で不合格のレベル)ばかりか、ろくな脆弱性検査も受けていないことの証左だろう。 pic.twitter.com/FdDM55QV47
2014-12-13 16:15:14
拡大
Web猫
@webdevjp
こういうときは、わざと未入力でログインボタン押す。そうすると「再入力して下さい」って画面はhttpsになってるサイトが多いから、そこで初めて入力するようにしてます。 >RT ANAトップページのパスワード入力画面がhttps://になってない件
2014-12-13 17:57:57
Hiromitsu Takagi
@HiromitsuTakagi
POODLE対応でSSL 3.0停止と告知するサイトが続出しているが、おまえ、cookieにsecure属性付けてないやないかと。アホかと。
2014-12-14 12:47:16
徳丸 浩
@ockeghem
『(POODLEで)32文字のCookieの値を取得することを考えると、おおよそ8,000回程度のリクエストをクライアントから繰り返し送らせる必要があります』<Cookieのセキュア属性がなければ1回のリクエストで取得できるよ developers.mobage.jp/blog/poodle
2014-12-14 17:28:08
日経電子版広報部
@webkanpr
通信内容の保護に使われている暗号化方式「SSL 3.0」について深刻な脆弱性が発見され、日経電子版は別方式に切り替えています。通常、読者の皆さまに影響はありませんが、古いブラウザーやブラウザーの設定によっては、問題が出ることがあります。nikkei.com/topic/20141202…
2014-12-03 08:38:27
Hiromitsu Takagi
@HiromitsuTakagi
おっと、こんにちわ〜しようと思ったら、nikkei.com は secure属性が付いていた。偉いぞ。 pic.twitter.com/OMgJ0BXtYU
2014-12-14 18:54:31
拡大
Hiromitsu Takagi
@HiromitsuTakagi
ここは12年前に講演に呼ばれたときに指摘しといたからね。 pic.twitter.com/h0fVG8zfAR
2014-12-14 19:17:21
拡大
eoサポート
@eosupport
eoサポート担当です。SSL 3.0に、通信の一部が第三者に解読可能となる深刻な脆弱性が発見された為、2014年11月20日より弊社サービスにおけるSSL 3.0の通信を停止させていただきました。(続く)
2014-11-21 09:43:15
eoサポート
@eosupport
(続き)それに伴い古いバージョンのブラウザをご利用の場合、標準設定ではページ表示不可となる為、早急に最新版に更新して頂きますようお願い申し上げます。また、一部携帯電話でもページが表示できなくなります。詳細はこちら bit.ly/ZYuma8 をご参照ください。
2014-11-21 09:43:52
Hiromitsu Takagi
@HiromitsuTakagi
おお、eoも、secureクッキーになっているぞ。(ログイン前で確認しただけなので、確かではないが。) pic.twitter.com/vpe0muHwve
2014-12-14 19:29:53
拡大
Cybertrust_SSL
@Cybertrust_SSL
SSL3.0を無効にする設定はお済ですか SSL 3.0 の脆弱性「POODLE」の悪用防止のため、サーバーもしくはSSL接続を行うクライアント環境にて、SSL3.0を無効とする設定変更を推奨します。 ow.ly/Dry5z #サイバートラスト
2014-11-13 11:50:14
Hiromitsu Takagi
@HiromitsuTakagi
ここもOKかな。(おそらくは。) sstra.cybertrust.ne.jp/IRA/loginSb/ pic.twitter.com/JV3TCJ7Dah
2014-12-14 19:36:05
拡大
村辻
@sp_Ms_clarett_
数日前からニコニコ動画(ニコ動)にログインできない、って人はInternet Explorerの設定を下のように変更するとみれるようになるかもしれません。参考までに!→ blog.nicovideo.jp/niconews/ni049… pic.twitter.com/TnS1xcnHHH
2014-12-14 10:26:49
拡大
Hiromitsu Takagi
@HiromitsuTakagi
おや、ニコニコ動画が一丁前にSSL 3.0を停止しているが、肝心の画面で、cookieにsecure属性がないね。 blog.nicovideo.jp/niconews/ni049… pic.twitter.com/CiGU0Zx4bQ
2014-12-14 20:22:26
拡大