人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

Googleのデバイスバウンドセッション資格情報:セッションハイジャックの終焉?

2025-08-28

セッションハイジャックは長年、オンラインセキュリティにおける大きな脅威でした。従来のCookieベースのセッション管理は脆弱であり、システムを攻撃にさらしていました。これに対抗するため、Googleはデバイスバウンドセッション資格情報(DBSC)を導入しました。これは公開鍵暗号化を利用し、各セッションにキーペアを生成し、デバイス(例:WindowsのTPM)に安全に保存します。これにより、他のデバイスでのセッション識別子が無効になり、ハイジャックを効果的に防止します。現在、Google WorkspaceのChromeユーザー(Windows)でベータテスト中で、他のブラウザベンダーも採用すれば、セッションハイジャックは過去のものになる可能性があります。

続きを読む
(www.feistyduck.com)
テクノロジー セッションハイジャック 公開鍵暗号

OCSP の緩やかな死:Let's Encrypt がサポートを終了

2025-01-30

Let's Encrypt が OCSP(オンライン証明書ステータスプロトコル)のサポートを終了すると発表し、25 年の歴史を持つこの証明書失効確認技術の終焉を告げました。ブラウザの実装が不十分でコストも高いため、OCSP は十分なセキュリティ向上をもたらしませんでした。今後は、より短い有効期間の証明書(例:6 日間)と改良された CRL メカニズムが採用され、ブラウザベンダーが CRL の継続的な更新を担います。OCSP は特殊なケースでは使い続けられる可能性がありますが、広く利用される時代は終わりました。

続きを読む
(www.feistyduck.com)
テクノロジー 証明書失効