¿Puedo simular una conexión HTTPS en un servidor local?

publicado por: Anonymous Tengo un virtual host hecho con xampp, Y estoy haciendo un formulario de login con HTML, Pero siempre me dice que la conexión no es segura cuando voy a poner la contraseña, ¿Se podria simular una conexión segura en el localhost? solución Prueba lo siguiente: Ve a: xampp/apache/conf/extra/httpd-vhost.conf Y agrega: (modificando “DocumentRoot”…(Continue Reading)

htaccessでwww付きにリダイレクトする前に「安全ではない接続」と表示される

投稿者: Anonymous ELB-EC2-apache でサーバーを構築しております。 証明書はwww付きのモノですので、 https://example.com と接続すると「安全ではない接続」と表示されるので、 RewriteCond %{HTTP_HOST} ^example.com RewriteRule ^(.*)$ https://www.example.com/$1 [QSA,R=301,L] のように設定しているのですが、 https://example.com にアクセスすると 「安全ではない接続」と表示され、許可してアクセスした後にwww付きにリダイレクトされます。 ネットで沢山情報ありますので、いろいろ試しましたが「安全ではない接続」と表示されます。 このパターンですと、どのようにwww付きにリダイレクトさせれば良いのでしょうか? 解決 サーバーの設定に関係なく、ユーザーが https://example.com にアクセスした時点で https://example.com の正しい証明書が存在しないようなので、ユーザーから見ればそれは「安全ではない接続」になります。 SNI などを使い証明書が example.com に対して有効である状態にしない限り、安全にリダイレクトさせることは SSL の仕組み上できません。 回答者: Anonymous

HTTPSで通信をする方法について

投稿者: Anonymous 今、サーバにSSL証明書を自己証明書として入れました。 サーバ側で作成した秘密鍵とCSRがあります。 その上でサーバに対して他のPC(クライアント側)からHTTPSにて通信をしようと考えています。 その際に、クライアント側(centos7)でHTTPS通信をする為にどうすれば良いでしょうか。 初心者の質問で申し訳ありませんが、秘密鍵やCSRを入れなければいけないのではないかと思いますが、 どのように入れればいいのか教えていただけませんでしょうか。 追記 サーバはWebサーバ(httpd)です。 やりたい事は勉強目的で私の検証環境(閉じているのでインターネットとは接続されていません。私以外にアクセスできません。)でHTTPSのパケットをWiresharkで見たい、というものになります。 イントラなどでの通信をしたい訳では無いので、私の勉強用です。 解決 結果として何も入れずにHTTPSで通信をしたら出来ました。 curlコマンドでHTTPS通信をする際に、ポートを443で指定せずに行うと、たとえ-sslv2等でSSL通信を指定していたとしてもHTTPS通信は出来ないという注意点がありました。 回答者: Anonymous

特定のサイトにSSLで接続する場合だけ “unable to get local issuer certificate”が出る

投稿者: Anonymous 以下のように特定のサイト( https://xml.irpocket.com )にHTTPSで接続しようとするとunable to get local issuer certificateエラーが出ます。 require ‘net/https’ url = URI(‘https://xml.irpocket.com’) Net::HTTP.get(url) #=> OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=error: certificate verify failed (unable to get local issuer certificate) from /Users/ironsand/.rbenv/versions/2.5.5/lib/ruby/2.5.0/net/protocol.rb:44:in `connect_nonblock’ ですが https://google.co.jp など他のSSL接続を使用してるサイトではエラーなく正常にページが取得されます。 「ローカルの証明書が取得できない」というエラーなら接続先を変更してもエラー内容は変わらないはずだと思うのですが、このような動作になるのは何が原因なんでしょうか? 解決 nslookup xml.irpocket.comをしたところIPアドレスが3つ返ってきました。 3台にたいしてopenssl s_client -connect <address>:443で確認したところ、 ある1台 depth=3 C = SE, O = AddTrust AB, OU…(Continue Reading)

ソフトウェア開発をおこなう企業における一般的なProxy構成を教えて下さい

投稿者: Anonymous お世話になっております。 皆様のご助力もあり、企業や学校においてはProxyサーバを経由して社外ネットワークへアクセスするのが一般的であるということがわかりました。 最近はhttpsによる通信が一般的になっていることもあり、間にproxyが挟まって一旦proxyで復号化して中身を監視するような構成だと、原理的に証明書のエラーが発生します。 IEやChromeなどのブラウザであれば、ブラウザにProxyのルート証明書をインストールすれば証明書関連のエラーが解消できます。 pipやapt,yumなどを始めとするパッケージ管理ソフトや、モジュール等の自動ダウンロード機能がある一部のソフトではProxyを使用してhttpsでダウンロードしようとすると証明書関連のエラーが発生します。証明書エラーを無視するという設定ができるソフトもあります。 Proxyを経由する場合は、これらのソフトに対して様々な方法で対策をする必要があります。 そこで質問です、IoTや組み込み・業務系に限らず、ソフトウェア開発をおこなう企業では、Proxyの構成はどのようなものになっているのが一般的なのでしょうか。 私はインフラ関連については疎いので、ネットで聞きかじったくらいしか知識がありませんが、 ・https,httpについて、全部の通信を一旦復号化して監視・記録する ・httpだけを監視・記録する。httpsについては素通りにしてIPアドレスやドメイン名のみ記録する ….などがパターンとしては考えられるのかな…とおもいます。 個人的には、先行開発をメインにおこなう部署や会社では、新しいツールを導入するときに、Proxyとの格闘でかなり時間を費やしているんじゃないかな…とおもっています。 (しかも、頻繁にバージョンアップなどあり、そのたびに設定方法が変わるとか…) そのような場合、素直にProxyと格闘するのか、情シスから緩和ルールをもらったりするのか…などどのように運用されているのか、なども教えていただけると嬉しいです。 解決 ソフトウェア開発をおこなう企業 であれば pipやapt,yumなどを始めとするパッケージ管理ソフトや、モジュール等の自動ダウンロード機能がある一部のソフト に対応するリポジトリサーバをイントラに持っていることも少なくないのではないでしょうか(一般的である、かどうかまではわかりませんが)。 例えばJFrog ArtifactoryやSonatype Nexus Repositoryはそのような目的を達成するためのプロダクトです。 (ミラー機能というのがあります) エンドユーザ(ソフトウェア開発者)とリポジトリサーバ間の通信がイントラネットワークで完結すれば 証明書関連のエラーが発生 するような仕組みを差し挟む必要がそもそも無くなるのではないでしょうか。 回答者: Anonymous

HTTPS PROXY とはなんですか

投稿者: Anonymous 環境変数で HTTPS_PROXY に http の URL を設定しているのを何度か見ました。 最初はコピペミスか何かだと思っていたのですが、思ったよりそう設定されているケースが多くミスではないように思いました。 HTTPS PROXY について調べてみたのですが、プロキシサーバを経由して HTTPS のページにアクセスことについて書いてあるページばかりで HTTPS PROXY についてわかり易く解説してあるページは見つけられませんでした。 また、HTTPS プロキシーサーバは存在しないと書いてあるものもありました。 なので、 HTTPS PROXY とはプロキシサーバを経由して HTTPS のページにアクセスする場合の CONNECT メソッドを使った方法のことを指すと思って自己完結していました。 しかし、 curl のオプションを見ていると -x で指定するプロキシ設定にプロトコルが設定可能というのを知りました。 省略時のデフォルトは HTTP で HTTPS もサポートしているとあります。 https://curl.haxx.se/docs/manpage.html#-x プロキシを経由した通信先が HTTPS かどうかであれば、プロキシの設定に HTTPS を設定する必要はないと思います。 一応 HTTP プロキシサーバを立ててそこを指定してテストを行いました。 -x に http:// を指定すれば正常に動き https:// を指定するとエラーでした。 これらのことから接続先が HTTPS…(Continue Reading)

HTTPからHTTPSへの通信はセキュアですか?

投稿者: Anonymous ローカルに立てた管理ページ(http://localhost:3000)からAPIサーバー(https://api.myapp.com/admin/*)へ通信し、コンテンツを編集する…という設計を考えています。 通信する際にヘッダーへ管理者用パスワードを含めるのですが、この手法はセキュアなのでしょうか。 ちなみにAPIサーバーは管理者用エンドポイントの他に公開用エンドポイントも存在します。 解決 通信のエンドポイントがJavaScriptかローカルHTTPサーバーか読み取れなかったので両方について書きます。 まずブラウザ上のJavaScriptからAPIサーバーと通信しているのであればページのオリジンに関わらずすべての通信がユーザーに筒抜けです。この場合は絶対に管理者パスワードなどを含めるべきではありません。 またローカルで動作するHTTPサーバーからAPIサーバーと通信する場合は一般のアプリケーションと同様に中間者攻撃の危険があります。またファイルシステムやメモリ上に平文でパスワードを保存した場合、比較的容易に抜き出すことができます。 程度の差はあれどちらもそれほど安全ではありません。管理権限を持たないユーザーにも配布するのであれば、埋め込みキーではなくきちんとサーバー側でユーザー認証を行うべきです。 回答者: Anonymous

ffmpegでs3上のファイルにアクセスしようとすると”Protocol not found”と言われる

投稿者: Anonymous 現在、表題の問題に悩まされております。 PCローカル上の動画にターミナルよりffmpegで以下のコードを実行するときちんと成功し、ファイルが作られます。 % ffmpeg -i /Users/MacBookProMGX82JA/Desktop/mov_h264_aac.mov -vf trim=0:5 /Users/MacBookProMGX82JA/Desktop/mov_h264_aac_2.mov   しかし、ファイル名だけをS3上に存在するファイルに置き換えた所、 % ffmpeg -i https://s3-ap-northeast-1.amazonaws.com/nigari/uploads/article/video/1/mov_h264_aac.mov -vf trim=0:5 /Users/MacBookProMGX82JA/Desktop/mov_h264_aac_2.mov https://s3-ap-northeast-1.amazonaws.com/nidomi/uploads/article/video/1/mov_h264_aac.mov: Protocol not found というエラーになります。 S3上のファイルは鍵がかかっているわけではなく、リンクを踏めばDLできます。 curlコマンドでは普通にダウンロードできます。 % curl -O ttps://s3-ap-northeast-1.amazonaws.com/nigari/uploads/article/video/1/mov_h264_aac.mov                            (git)-[cutmovie]   % Total    % Received % Xferd  Average Speed…(Continue Reading)

TLS1.0対応の暗号化方式のうちどれを使っているのかを確認するには?

投稿者: Anonymous 「どの暗号化方式を使用しているか分かる方法ってありますか?」 気になったことがあったので、質問させてください。 どうか有識者の方にご回答いただけると助かります。 https通信がTLS1.0対応している場合は、 以下のような対応する暗号化方式があります。 ・256bit AES暗号 SHA-1 MAC ・128bit AES暗号 SHA-1 MAC ・168bit トリプルDES暗号 SHA-1 MAC ・128bit RC4暗号 SHA-1 MAC etc 気になったのは、実際の一回一回のhttps通信ごとに どの暗号化方式を使っているのかわかる方法があるのか についてです。 私の稚拙な理解では そもそも、何に依存して暗号化方式を変えているのか、 毎回https通信ごとに違う暗号化方式を使っているのか 実は通信先のPCとサーバが同じであれば、毎回同じ暗号化方式なのか もわかっていません。 どこのサイトを見ればわかるかも。というのでも構いません。 どうかご教授のほどお願い申し上げます。 以上です。 解決 HTTPSはSSL(TLS)上にHTTPを乗せたものですので、TLSについて説明します。 TLSではまずクライアントからサーバーへClient Helloと呼ばれるパケットを送信します。その中にはCipher Suitesと呼ばれるクライアントで使用可能なアルゴリズム一覧が含まれています。その応答としてサーバーからクライアントへServer Helloというパケットが送信されます。その中にはClient Helloで送られてきたアルゴリズム一覧の中から1つ選択決定したCipher Suiteが含まれています。 WebブラウザーでQualys SSL LabsのTest your browserを開くと、そのWebブラウザーが送信したCipher Suitesを確認することができます。Webブラウザー毎(IE、Edge、Firefox、Chrome)に一覧が異なることも確認できるかと思います。 同様にTest your serverでは指定したサーバーが選択するCipher Suiteを確認することができます。ただし、他人の運営するサーバーを指定すると迷惑がかかるためやってはいけません。 なお、Internet Explorerの場合、ページのプロパティを開くとConnectionの項目に現在選択されているCipher…(Continue Reading)

HTTPとHTTPSにする場合、クライアント、サーバーはどうしたらいいのか

投稿者: Anonymous HTTPとHTTPSについて、HTTPSだと通信内容が暗号化される…からHTTPより安全。という、ぼんやりとしか理解ができていません。 例えば、クライアント側(HTML5、javascript)で actionにhttp://xxx.xxx.xxx.xxxx:xxxx/~ inputでtype=hidden で何かしらのデータを指定して 画面を遷移させていた場合、この指定したデータは丸見えとなってしまうという認識でいます。 これをhttpsにすると、指定したデータは暗号化される…ということなのでしょうか? その場合、クライアント側でactionにhttpsを指定するだけでよいのでしょうか? サーバー側には何の指定もいらないのでしょうか? 解決 これをhttpsにすると、指定したデータは暗号化される…ということなのでしょうか? HTTPS は HTTP over SSL/TLS の略で、SSLまたはTLSで暗号化した通信経路の上で、HTTPによる通信を行うプロトコルです。暗号化されるのはフォームの値だけではなく、HTTPプロトコルで送受信される 通信内容がすべて暗号化される感じになります。 サーバー側には何の指定もいらないのでしょうか? サーバー側には、SSL/TLSサーバー証明書をインストールして、Webサーバー(ApacheやNginxなど)で 有効化する必要があります。また、https 通信は TCP:443 ポートを使用しますので Firewallなどでポートを遮断している場合は、明示的に通信を許可する必要があると思います。 SSL/TLSサーバー証明書は、ベリサインやセコムなどの認証機関から購入するか、無料のLets Encryptを利用したり、自分自身で証明書を作成する(自己証明書)方法などがあります。 自己証明書はブラウザからアクセスする場合、警告が表示されますので 注意が必要です。 証明書にはいくつかの種類がありますので、証明書機関のウェブサイトなどをご確認頂いて検討されてみてはと、思います。 回答者: Anonymous

SSL通信における共通鍵の管理方法について

投稿者: Anonymous クライアントとサーバで同一の共通鍵を生成するところまでは理解しましたが、 その後、「クライアントと共通鍵との対応関係」を サーバのどこが どう管理するか を知りたいです。 以下であっていますか? Apacheであれば、mod_ssl クライアントの「IPアドレス」と「ポート番号」ごとに対応する共通鍵を保管する 解決 共有鍵はSSL/TLSの接続毎に生成されるので、おそらくmod_ssl が管理しているメモリ内にだけ存在します。Apacheのプロセスが終了するときは接続も終了するので、とくにディスクに保存する必要はありません。 同一のクライアントとの通信でも、接続が別ならば共有鍵も別のものが生成されて使われます。 回答者: Anonymous

¿Dónde está el archivo modificable del en WordPress?

publicado por: Anonymous Necesito modificar el <head> de una página web hecha en WordPress. ¿Dónde está ese archivo para modificarlo a mano? solución Puedes hacerlo de varias formas: Editando el archivo header.php de la plantilla, que está ubicado en: /wordpress/wp-contents/themes/tuplantillaactiva/header.php Desde el panel de control de wordpress: Ir a “Diseño – Editor de temas” Seleccionar…(Continue Reading)

¿Cual es la diferencia entre los verbos Patch y Put?

publicado por: Anonymous No quiero llenarlos de texto inútil, ya que la pregunta está bien clara. En la facultad me enseñaron a usar el verbo Patch para hacer modificaciones y en internet veo que generalmente se usa Put. Me gustaría que alguien me explique la diferencia entre ambos. Saludos! solución Aquí algunas definiciones: PUT se…(Continue Reading)

Mixed Content: This request has been blocked; the content must be served over HTTPS について

投稿者: Anonymous コンソールログで下記エラーが表示されます Mixed Content: The page at ‘https://example.com/1/‘ was loaded over HTTPS, but requested an insecure favicon ‘https://example.com/2/‘. This request has been blocked; the content must be served over HTTPS. Q1.「This request has been blocked」の対象について ・ブロックされているリクエストは何ですか? ・ファビコン表示だけ、それともHTML表示やjs処理自体もブロックされているのでしょうか? ・このページで記述しているAjax処理がうまくいかないのですが、この件と関係がある可能性はありますか? Q2.URLについて ・URLが2つ記載されているのですが、違いは何ですか? ・原因となっていると思われるfaviconが見つからないのですが、このエラーからどこにある見当をつけることは出来ますか? 解決 ページが https で読み込まれているのに対して、favicon などのその他のリソースの一部が http で読み込まれているため混合コンテンツとなり、http で読み込まれているリソースはブロックの対象になります。おそらく、Ajax によって読み込まれているリソースにも http のものがあるのだと予想します。 https://example.com/1/はページのHTMLで、https://example.com/2/(おそらく実際は http…(Continue Reading)

Respuesta JSON de Ajax con protocolo HTTPS

publicado por: Anonymous Recientemente monte una aplicación web y esta funciona correctamente, absolutamente todo, el problema es que al instalar un certificado SSL, y colocarla en protocolo HTTPS, las funciones ajax que me devuelven una respuesta tipo JSON me dan error, y no encuentro la forma de depurarlo ya que solo pasa cuando entro en…(Continue Reading)

セキュリティで保護されたWebページ にて保護されていないビデオのコンテンツが再生されない

投稿者: Anonymous こんにちは、初めての質問になります。 先日、同僚からセキュリティで保護された(https)ページにて保護されていない(http)ビデオのコンテンツが表示されない問題をみせられて、調査をしたら、Chromeでブラウザの動作に理解できないことがあってここで質問をしたいです。 ビデオのコンテントはObjectタグをしています。コードは書きのようになっています。 <object width=”720″ height=”429″ class=”player-swf” data=”//service.twistage.com/plugins/player.swf” type=”application/x-shockwave-flash”>   <param name=”movie” value=”//service.twistage.com/plugins/player.swf”>   <param name=”base” value=”//service.twistage.com”> … </object> 私の理解では 表示するページ →  表示するビデオコンテント → 期待する動作 HTTP → HTTP → 動作します。 HTTP → HTTPS → 動作します。 HTTPS → HTTP → 動作しますがブラウザがhttpとhttpsのコンテンツが混在の警告 HTTPS → HTTPS → 動作するはずなのか動作しません。 両方HTTPSを使用して動作しないのはビデオフィードをホストするサーバー上の証明が正しくないとエラーが出たので動作しないのは納得できますが、納得できないのは下記の場合です。 Chrome Version 39.0.2171.95 m での検証です。 タブを二つ開きます。 タブ1で、HTTPSページ例えば: https://test.pagehasfideo.aspx を開きます。ビデオが表示されない。 タブ2で、Objectに使用されているdataのurlをHTTPSでアクセスします。 例えばhttps://service.twistage.com/plugins/player.swf を開きますと警告され、続けるとページがロードされますが、IDがないとメッセージが表示されます。 この時点でタブ1に戻ってページをリロードします。今度はビデオが表示されます。 もしかして、player.swfがキャッシュされてのでと思ったのですが、player.swfをローカルにダウンロードして 下記のようにURLを変更しでも動作しない。 <object width=”720″ height=”429″ class=”player-swf” data=”https://mylocal/player.swf” type=”application/x-shockwave-flash”>   <param name=”movie” value=”https://mylocal/player.swf”>   <param name=”base” value=”//service.twistage.com”> … </object> この問題はYoutubeや、HTTPS接続が提供されている会社の場合はまったく問題がないです。 業者を変えればするのはなしですが、Chromeにてなぜこのようなの動作をするのかを理解したいので、 もしどなたこの動作の理由を説明していただければ幸いです。 解決 SSL…(Continue Reading)