オープンソースな製品でどうセキュリティバグをハンドルするか?
Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 自分がFirefox 26で直した話でSecurity Bugとしてマークされているのがあったんだけど、それの話。バグ自体は、CVE番号は振られているけどただのクラッシュなのでSecurity Advisoriesには載ってないものね。 今までもたまにSecurity bug自体は直してたり (面倒であればバグを登録。最近もした) するんだけど、ほとんどの場合はリリース版になっていないベータとかTrunkのものでの話のバグを直すことばかりなので現在のプロセスに疎いことがあるんだけど (今の日本のオフィスで働いている人達に、いまってこういうプロセスになってたって知ってた?って聞いたら、「えっ?」って言わたのは内緒)、こんな感じで対応する。 commit時
SSL認証局問題が再び発覚、MicrosoftとMozillaが対応表明
米MicrosoftとFirefoxブラウザ開発元のMozillaは11月3日、マレーシアのSSL認証局が発行した証明書に問題があることが分かったとして、この認証局が発行する証明書を失効させると表明した。 両社によると、問題が発覚したのは米Entrust傘下の認証局DigiCert Sdn. Bhdが発行した証明書。暗号強度が不十分な512ビットのRSA鍵を使用した証明書を22件発行していたほか、同社の発行した証明書には複数の技術的問題があることも判明したという。 問題の証明書はマレーシア政府機関のWebサイト用に発行されたもので、現時点で不正に利用された痕跡はないとされる。しかし、攻撃者がこの証明書の問題を悪用すれば、ユーザーをだまして不正なWebサイトを正規サイトだと思わせることが可能になる。 Microsoft、MozillaともEntrustからの連絡を受けて、DigiCert S
HTTPSサイトに自動接続するFirefox拡張機能「HTTPS Everywhere」正式版リリース
HTTPS Everywhereをインストールすると、Google検索やTwitter、Facebookなど、対応する1000以上のWebサイトに自動的にHTTPS接続する。 デジタル市民権団体の電子フロンティア財団(EFF)は8月4日(現地時間)、プライバシー保護の非営利団体Tor Projectとともに、Firefox向け拡張機能「HTTPS Everywhere」の公式版(バージョン1.0)を公開したと発表した。HTTPS Everywhereのページからダウンロードできる。 HTTPSは、HTTPでの通信を暗号化することでセキュリティを強化し、盗聴やなりすましを回避する技術。この方法で接続すると、URLの最初の部分が「http」ではなく「https」と表示される。HTTPS Everywhereをインストールすると、対応するWebサイトに接続する場合、自動的にHTTPSで接続する。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
