また前から日が空いていまいましたが、すみだセキュリティ勉強会2018#3を開催しました。 すみだセキュリティ勉強会2018その3 – すみだセキュリティ勉強会 私の発表は「Data Privacy Day - Googleを使わず1日過ごしてみる」です。 Chrome 69では、「google.co…

先日、東京五輪ボランティア応募サイトを検証したら予想以上にヤバかった（語彙力）という記事を読んでいたところ、日本語をid属性に使うことが槍玉に挙げられていました。 しかし日本語だろうがギリシャ語だろうがASCII文字だろうが、Unicodeの1文字である…

Ghostscriptの脆弱性が、Google Project ZeroのTavis Ormandy氏により公開されました(CVE番号はまだ無し)。openwallのoss-securityメーリングリストにもクロスポストされたので、こちらを見た方も多いでしょう。 https://bugs.chromium.org/p/project-zero/i…

以前に、個人でEV SSL証明書は取れるのか (1) - ろば電子が詰まっているとして、個人でEV SSL証明書をなんとか取れないかという話を書きました。結局その後、ローカル認証局を立ててFirefoxのソースをビルドしてEV SSL証明書を作る……ということをやって勉強…

Firefoxは、Chromeとは違い、デフォルトで信頼する認証局（トラストストア；Windowsで言う「信頼されたルート証明機関」）が内部にハードコードされている。一方、ChromeはWinでもMacでもOSのトラストストアを参照する。ということで、Firefoxのソースコード…

いろいろとやる必要があり、Chromiumを手元でコンパイルしたのでその記録。(2018-06-23) @tzik_tackさんに指摘いただき、一部修正しました。ありがとうございます。 ChromeとChromium まず、予備知識。Chromiumはオープンソースプロジェクト名であり、そのプ…

それなりにSSL証明書マニアなので、昨日から、「個人でEV SSL証明書を取るにはどうすればいいか」というアホなことを調べている。まず、認証局が厳密に従っている(はずだよね?)の、CA/Browser Forumのドキュメントを確認した。EV SSL証明書の発行プロセスに…

長い間のブランクをあけてしまいましたが、主催しているすみだセキュリティ勉強会を久々にやりました。 すみだセキュリティ勉強会2018その1 私のお話は、emoji(絵文字)を使ったパスワードの話です。 長くて覚えやすくて複雑なパスワードとemojiの話 / Speake…

昨日(2018/02/27)に、JPCERTからmemcached のアクセス制御に関する注意喚起が出ていました。ということでmemcachedのポート(11211/tcp, 11211/udp)が開放されていないかの確認方法についてメモしておきます。 memcached開放により起きる問題 はじめに、memca…