【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!
33
ログインして広告を非表示にする
Hiromitsu Takagi @HiromitsuTakagi 2014-12-14 23:35:37
あなたの利用サイト、クッキーにセキュア付いてます? Safariで確認 ①ログインし、登録情報変更の画面へ行き、https://であることを確認 ③コマンド+オプション+Iで「Webインスペクタ」を表示 ④リソースでcookieを選ぶ ⑤「保護」にチェック有りが1個以上あるか

ナカムラッコ @nakamurakko 2014-09-05 12:09:06
ANAから「パスワード変更するためにログインしてね」って連絡来てるけど、ログインIDとパスワードはSSLで暗号化していないトップページで入力する事になっている…
くろにゃ【公式】 ✈️🚄🍽🍡🍨🍧🍫🐈✨🌟☀️ next C94 Bigsight All @kuro_central 2014-09-30 11:56:20
それ言ったらANAもIDとパスワード突っ込むページが非SSLなのでデータ暗号化されずにIDとパスワードをネットに流してるのでアレ…航空会社に有識者いないの?
Nobutoshi Ogata @nobu666 2014-11-12 17:26:48
いまさら気づいたけどANAマイレージクラブのログイン、SSLじゃねーのかよ
インターネット初心者🔰 @_pot8os 2014-12-13 13:48:37
JALはトップページからEV SSL使ってるけどANAはログインフォームからSSLでトップページはEVどころか暗号化も無し。無能。
Satoshi Kato @katoSat 2014-12-08 11:07:09
ジワジワ来る講演だな。ああ「取り組み中」なのか。”ANAグループ全体の「セキュリティ・センター」としての取り組み - ANAグループにおけるセキュリティ対策 - “ itmedia.smartseminar.jp/public/applica…
Hiromitsu Takagi @HiromitsuTakagi 2014-12-13 16:00:42
トップページのパスワード入力画面がhttps://になっておらず、パスワードが暗号化されずに送信されるのを防止していない。ログイン後はトップページに行くとhttps://に強制リダイレクトされるので、初めからできることやっていない。 pic.twitter.com/sK72ivzhCJ
 拡大
Hiromitsu Takagi @HiromitsuTakagi 2014-12-13 16:15:14
しかも、cookieの発行が、secure指定したものが一個もない。ログイン中なのに。基本的なWebアプリケーション脆弱性の知識がない(情報処理技術者試験で不合格のレベル)ばかりか、ろくな脆弱性検査も受けていないことの証左だろう。 pic.twitter.com/FdDM55QV47
 拡大
Web猫 @webdevjp 2014-12-13 17:57:57
こういうときは、わざと未入力でログインボタン押す。そうすると「再入力して下さい」って画面はhttpsになってるサイトが多いから、そこで初めて入力するようにしてます。 >RT ANAトップページのパスワード入力画面がhttps://になってない件
Web猫 @webdevjp 2014-12-13 17:58:13
ただ cookieのsecure属性は・・ついててほしい・・

Hiromitsu Takagi @HiromitsuTakagi 2014-12-14 12:47:16
POODLE対応でSSL 3.0停止と告知するサイトが続出しているが、おまえ、cookieにsecure属性付けてないやないかと。アホかと。
徳丸 浩 @ockeghem 2014-12-14 16:01:04
CookieのSecure属性もれ脆弱性にもPoodleみたいなニックネームが必要だな > RT
徳丸 浩 @ockeghem 2014-12-14 17:28:08
(POODLEで)32文字のCookieの値を取得することを考えると、おおよそ8,000回程度のリクエストをクライアントから繰り返し送らせる必要があります<Cookieのセキュア属性がなければ1回のリクエストで取得できるよ developers.mobage.jp/blog/poodle
日経電子版広報部 @webkanpr 2014-12-03 08:38:27
通信内容の保護に使われている暗号化方式「SSL 3.0」について深刻な脆弱性が発見され、日経電子版は別方式に切り替えています。通常、読者の皆さまに影響はありませんが、古いブラウザーやブラウザーの設定によっては、問題が出ることがあります。nikkei.com/topic/20141202…
Hiromitsu Takagi @HiromitsuTakagi 2014-12-14 18:54:31
おっと、こんにちわ〜しようと思ったら、nikkei.comsecure属性が付いていた。偉いぞ。 pic.twitter.com/OMgJ0BXtYU
 拡大
Hiromitsu Takagi @HiromitsuTakagi 2014-12-14 19:17:21
ここは12年前に講演に呼ばれたときに指摘しといたからね。 pic.twitter.com/h0fVG8zfAR
 拡大
eoサポート @eosupport 2014-11-21 09:43:15
eoサポート担当です。SSL 3.0に、通信の一部が第三者に解読可能となる深刻な脆弱性が発見された為、2014年11月20日より弊社サービスにおけるSSL 3.0の通信を停止させていただきました。(続く)
eoサポート @eosupport 2014-11-21 09:43:52
(続き)それに伴い古いバージョンのブラウザをご利用の場合、標準設定ではページ表示不可となる為、早急に最新版に更新して頂きますようお願い申し上げます。また、一部携帯電話でもページが表示できなくなります。詳細はこちら bit.ly/ZYuma8 をご参照ください。
Hiromitsu Takagi @HiromitsuTakagi 2014-12-14 19:29:53
おお、eoも、secureクッキーになっているぞ。(ログイン前で確認しただけなので、確かではないが。) pic.twitter.com/vpe0muHwve
 拡大
Cybertrust_SSL @Cybertrust_SSL 2014-11-13 11:50:14
SSL3.0を無効にする設定はお済ですか SSL 3.0 の脆弱性「POODLE」の悪用防止のため、サーバーもしくはSSL接続を行うクライアント環境にて、SSL3.0を無効とする設定変更を推奨します。 ow.ly/Dry5z #サイバートラスト
ムームー @sp_Ms_clarett_ 2014-12-14 10:26:49
数日前からニコニコ動画(ニコ動)にログインできない、って人はInternet Explorerの設定を下のように変更するとみれるようになるかもしれません。参考までに!→ blog.nicovideo.jp/niconews/ni049… pic.twitter.com/TnS1xcnHHH
 拡大
Hiromitsu Takagi @HiromitsuTakagi 2014-12-14 20:22:26
おや、ニコニコ動画が一丁前にSSL 3.0を停止しているが、肝心の画面で、cookieにsecure属性がないね。 blog.nicovideo.jp/niconews/ni049… pic.twitter.com/CiGU0Zx4bQ
 拡大
残りを読む(17)

ブックマークしたタグ

あなたの好きなタグをブックマークしておこう!話題のまとめを見逃さなくなります。
ログインして広告を非表示にする
ログインして広告を非表示にする