201109

『DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明』(Internet Watch)，問題の大きさはDigiNotarの性質からも推測された。同社はオランダのSSL認証局で、最高度のセキュリティを保証するためのEV SSL証明書も発行している。 (snip) DigiNotarは規模は小さいものの、オランダ政府認証基盤の証明書発行に関係している。また、EUの法律により、DigiNotarによって発行された証明書は自動的に信頼されることになっている。法的な効力としては契約書などに記される手書きの署名にも等しいとされ、DigiNotarのSSL証明書をオランダ政府、官庁の多くが採用している。そのため、DigiNotarに対する信頼が多くのブラウザーによって取り消されて以降、オランダ国内で多くの混乱が起きた。 (snip) また、証明書発行対象となったドメインは、最も影響力の大きいものでは「*.twitter.com」「www.facebook.com」「*.skype.com」「*.wordpress.com」「*.microsoft.com」「*.windowsupdate.com」「*.torproject.com」「*.mozilla.org」「addons.mozilla.org」「www.cia.gov」「*.mossad.gov.il」など、主に通信や情報機関に関連したドメイン名が並ぶ。

『DNS乗っ取りで不正サイトに誘導、Microsoftなどにも影響か』(ITmedia)，NetNamesは9月5日のプレスリリースで、同社を通じてドメインを登録している一部顧客のWebサイトが英国時間4日、一時的に不正なDNSサーバにリダイレクトされていたことを明らかにした。攻撃側はNetNamesのシステムにSQLインジェクション攻撃を仕掛けて顧客のアカウントに侵入。DNS情報を書き換えて正規サイトへのトラフィックを乗っ取り、「TurkGuvenligi」を名乗るハッカー集団のWebサイトに誘導していたという。 (snip) 米セキュリティ機関SANS Internet Storm Centeはこの問題の影響を受けたWebサイトとして、英IT情報サイトのRegister、英日刊紙Telegraph、acer.com、vodafone.comなどを挙げている。 一方、Webサイトの改ざん情報を提供しているZone-Hのリストによれば、影響を受けたWebサイトにはMicrosoftやAdobe、セキュリティ企業のF-SecureやKasperskyといった各社の傘下にあるWebサイトが含まれる。

『MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効』(ITmedia)，不正なSSL証明書が発行される事件は3月にも発生したが、この時は認証局のComodoからすぐにMozillaに連絡があり、両者が連携して対策に当たったという。これに対してDigiNotarのケースでは十分な対応がなされたという確信が持てず、同社からの連絡も不十分なため、今後同様な問題が起きた場合のユーザーの保護に大きな不安が残ると判断した。 (snip) 今回の事件を振り返ってMozillaは「SSLシステムの完全性は秘密主義の中では保てない」とDigiNotarを批判。

『iPad/iPhoneでタッチペンを使ってみると思いのほか捗るぞ』(Lifehacker日本版)，購入の基準は、反応がいいこと、ペンを持つような感じで使えること、所有したくなるデザインと機能性があることの3点。ということで、数あるタッチペンの中から選んだのは「Simplism Grip Touch Pen」です。これとは別のタッチペンを使っているけど，これは良さそうだ…

PortsのApache22がCVE-2011-3192対応の2.2.20になったので更新した…