1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
2015年1月27日(現地時間) Qualysはglibc(GNU C Library)に脆弱性を発見し、情報を公開しました。ここでは関連情報をまとめます。(暫定まとめなので精度低め、網羅性無しです。。) (1) 脆弱性関連情報 Qualysが公開した脆弱性情報 The GHOST Vulnerability Qualys Security Advisory CVE-2015-0235 注意喚起 IPA (注意) libc の脆弱性対策について(CVE-2015-0235) 脆弱性の概要 glibcの__nss_hostname_digits_dots() にヒープバッファオーバーフローの脆弱性。 当該関数はglibcのgethostbyname()とgethostbyname2()から呼ばれている。 アプリケーションによっては、DoS、またはリモートから任意のコードが実行可能となる可能性
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
Symantecs製品のソースコードを盗んだと思われるハッカー集団は、「Norton AntiVirus」のソースコードを米国時間1月17日にリリースすると脅している。これに対し、Symantecはそのようなリリースは脅威をもたらさないと述べている。 ハッカー集団は「Yama Tough」と名乗り、「Anonymous」のマスクを被った画像をTwitterのアイコンにしている。Yama Toughは14日のツイート投稿で、1.7Gバイトのソースコードを17日にリリースすると述べ、「まだ続きもある」というメッセージを添えた。 ハッカーがSymantec製品のソースコードにアクセスすることに成功したと複数のメディアが1月に報じていた。Symantecはそれらの製品が「Symantec Endpoint Protection(SEP)11.0」と「Symantec AntiVirus 10.2」
iOS向けSkypeに重大な脆弱性発見!使ってる人は今すぐ対策を!
結構やばそうです...... こんばんは。Pineです。 今日、Skypeに重大な脆弱性が見つかったというニュースが入りました。 まだ公式発表のものではありませんが、なかなか有力なものとなっています。 Skypeは公式にこの脆弱性を認め、現在Bug Fix中です 詳細は以下から............. 今回脆弱性を発表したサイトはこちら http://superevr.com/blog/ そしてここで公開されているデモ動画はこちらです 一通り見てみると少しわかりますが、iPhone版Skypeに大して特定のユーザー 名に設定した後メッセージを送ることで、iPhone側で処理を行うことができ、 それによってデータを吸い出しているようです。 はじめ見たときは信じられなかったのですが、調べてみるともっともなようです。 Skypeは、ユーザー名を表示するときにUIWebViewを用いて表示してい
2010年6月7日(月) ■ 通信の秘密の破りかた。 _ 日本では通信の秘密が保証されているけど、通信当事者の同意があれば、その通信内容を覗き見してもいいと解釈されてるよ。 _ たとえば、ISP による電子メールのウィルスチェック/スパムフィルタ。あれは、ユーザがそれを望んでいることが明白だから(だって自分でオプション契約を申し込んだよね)、通信の秘密が侵害されたわけじゃない、という扱いだよ。正当業務行為とか、緊急避難とかじゃなくて、当事者による同意が違法性の阻却理由。同意を得る手続きなしで勝手にウィルスチェックしてたら(感染しなくてありがたいかもしれないけど)違法だよ。ところで、gmail のウィルスチェックとかスパムフィルタって同意した記憶ないんだけどあれどうなってんのかね。日本向けに日本語でサービスしてて日本法人もあるけど海外企業だから日本の法律は適用外なんかね。 _ でも、メールっ
Firesheep, a Firefox extension designed to demonstrate just how serious this problem is. Eric Butler氏が公開したFirefoxエクステンションFiresheepが大きな話題になっている。FiresheepはオープンワイヤレスネットワークにおいてHTTPセッションハイジャックを実施するためのデモンストレーションエクステンション。このエクステンションを使うとほかのユーザのクッキーを取得して他人になりすましたログインが可能になる。Firesheep 0.1においてHTTPセッションハイジャックが実施できるサイトは次のとおり。今後のバージョンアップで対応するサイトが増える可能性もある。 Amazon.com Basecamp bit.ly Cisco CNET Dropbox Enom Everno
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
なんか最近はセキュリティの強化のためか複雑なパスワードが好まれるようになってきた。 12文字以上にしてくださいだとか、大文字と小文字を混ぜてくださいだとか、数字も入れてくださいだとか。 大文字と小文字を混ぜたパスワードなんてなかなか覚えておけない。 おまけに数字も入れろだと? どう考えても Masahiro19821026 ↑おなまえ。 ↑生年月日だと思われる。 みたいなパスワードになってまうやろ!! 全然安全じゃないよ!!私は、とある会社のサーバーの管理者アクセス権があるんだけど、そこの社員のパスワード、1/3ぐらいの人が↑の形式だったよ!!駄目だよ、駄目。全然安全じゃない。まだ5文字ぐらいのパスワードのほうが安全なぐらいだ。5文字のパスワードなんてBrute Forceでattackされたら一瞬で突破されると言われるかも知れないけど、いまどき連続して入力に失敗したら一定時間IP ban
2010/10/04 シマンテックは10月4日、日本国内における迷惑メールの現状に関する説明会を開催した。説明会にはニフティの開発推進室 担当部長 木村孝氏も出席し、迷惑メール対策のいくつかは功を奏しているものの、海外発の迷惑メールが増大している現状を指摘した。またシマンテックのセキュリティビジネスユニット シニアプロダクトマネージャ 西島正憲氏は、迷惑メールを介して、Adobe PDFファイルの脆弱性を狙う悪意あるサイトへと誘導する攻撃の増加に注意を呼び掛けた。 木村氏によると、この数年間、迷惑メールの量自体はそれほど大きく変わっていないが、発信元に違いが見られるという。2006年から2007年ごろを境に、迷惑メールの発信元が国内から海外へとシフトしているのだ。また発信元を国別に見ると、以前はほぼ半数が中国から送られてきていたが、最近では「いわゆるBRICsやアジア全般に広がってきている
セキュリティ企業Qualysによると、正しく設定されているSSL証明書はたった3%しかないそうだ(eSecurity Planet、本家/.より)。 Qualysは1億を超えるドメインをスキャン、その結果1240万ドメインは解決されず、1460万ドメインはレスポンスが無かったとのことで、アクティブドメインはこのうち9200万であった。アクティブドメインのうち、Port 80と443の両方でQualysのスキャンに応えたのは3400万ドメインであり、Port 443をより詳しく調べたところ、内2300万ドメインがSSLを実際に運用していた(概してPort 80はHTTPに使われ、443はHTTPSやSSL保護されたサイトに使用されている)。 SSL証明書はどのドメインに対しても発行することが可能だが、SSL証明書のドメインが接続先のドメインと一致することが最善とされている。しかしこの2300
「安全なSQLの呼び出し方」というSQLのセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
IPA(独立行政法人情報処理推進機構)は18日、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」(PDF)を公開した。全5章(計40ページ)および付録からなり、冊子「安全なウェブサイトの作り方」(PDF)の別冊として、公式サイトより入手できる。 「安全なSQLの呼び出し方」では、SQLインジェクション攻撃にどのような対策を取れば安全であるかの要件を検討し、安全なSQL呼び出しを実現する考え方を製品によって整理しながら、具体的なケースの調査結果を示している。 特に第5章では、5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、Perl/JavaとMySQL、ASP.NETとSQL Server)における安全な実装方法とソースコードの書き方を解説しているほか、付録には、文字コードに関する問題など特定のデータ
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
