■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
CWE is a Software Assurance strategic initiative sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。
TOP生活実用Windowsセキュリティに投資するのは古い!? Microsoftのセキュリティーツールで十分かも。 無数にある脅威や世界規模で広がり続けるウィルス、Windows PCのセキュリティー確保にはいつも頭を悩ませられますが、だからといってWindowsセキュリティーにお金を投じる必要はあるのか?、というのが今回のお話です。 今回のお話は「これが正しい」という結論付けではなく、あくまでも一つの意見ですので、いろんな意見を聞かせて頂けるとうれしいです。 『Microsoft Security Essentials』は、優秀なアンチウイルスアプリである。 『Microsoft Security Essentials』のリリースによってアンチウイルスソフトはあるべき姿を変えた、と言っても過言ではないかと思います。ついに我々は、システムパフォーマンスを犠牲にせずにウイルス、スパイウェア
研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
はてなダイアリーのサービス停止に伴い、はてなダイアリーにあった日記をこちら(はてなブログ)に移行しました。 現在、記事の更新は停止していますが、将来記事を書く可能性はあります。 はてなブックマークボタンを外しました | 徳丸浩の日記以降、こちらの更新を原則的に停止していましたが、恒久的に更新を停止し、tumblrに移行することに致しました。詳しくは、ブログとソーシャルブックマークの移行について - 徳丸浩のtumblrを参照下さい。 すでにこちらでご案内の通り、私のブログ(徳丸浩の日記およびEGセキュアソリューションズオフィシャルブログ)に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。 その後、株式会社はてな社長
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
2009年4月9日,NTTコミュニケーションズ(NTTコム)の「Arcstar IP-VPN」を監視するシステムがウイルスに感染していたことが明らかになった。感染範囲はNTTコムの内部にとどまらず,Arcstar IP-VPNを利用する企業のパソコンまで被害が拡大した。NTTコムのシステム運用の甘さが露呈した格好だ。 Arcstar IP-VPNには,ユーザー企業のルーターを監視する「ルーター監視オプション・サービス」がある。ウイルスに最初に感染したのは,同サービス向けの監視端末である(図1)。 NTTコムが監視端末の感染を知ったのは,2009年4月9日の午前中。Arcstar IP-VPNのユーザー企業から「NTTコム側から不正なパケットが断続的に届いている」との報告があった。この申告に基づきシステムを調査したところ,監視端末のウイルス感染が見付かった。同日13時ごろに全監視端末をネット
PacketBlackHoleおよび関連商品の販売終了のお知らせ 平素はネットエージェント株式会社の製品をご利用いただきまして、誠にありがとうございます。 2000年より販売してまいりました「PacketBlackHole」および関連商品につきまして、2019年3月末日をもちまして新規の販売を終了させて頂くことをご案内申し上げます。 長らくのご愛顧、誠にありがとうございました。 出荷終了対象製品はリプレイス導入、機器買い替えを含む全ての新規ライセンス及びハードウェア製品となり、継続ライセンスおよびハードウェア保守につきましては2023年3月まで販売いたします。 現在ご利用の製品につきましては引き続きご利用可能です。 また、アプライアンス製品およびソフトウェア製品の保守サポートは2024年3月末日まで継続いたしますので、引き続き製品をご利用いただきたくお願い申し上げます。 販売終了に伴いご不
文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-04-27 10:14 どんな研究も、誤った研究課題からスタートしたり、誤った観点に立っていたり、この場合のように異なる相手と戦おうとすれば、誤った結論に至ってしまう。この場合の誤った敵とは、CAPTCHAを認識する自動化されたボットだ。 Googleは最近、適切な画像の回転を行う新たなCAPTCHA(Socially Adjusted CAPTCHAs)について詳しく説明する論文を発表した。この方式の目的は、CAPTCHAを人間には使いやすく、ボットにはずっと認識しにくいものにすることだ。しかし、「ボット VS CAPTCHA」というテーマに関するこの論文や他の多くの研究論文では、新たなアプローチが増加傾向という問題を除外してしまっている。もしこの新たなCAPTCHAが実際に実装
「インターネットはインフラか」と問われたら,多くの人は「イエス」と答えるだろう。総務省の呼びかけを受けて2009年2月下旬に設立される予定のインターネット・リテラシ普及団体「安心ネットづくり」促進協議会の概要には次のように書かれている。「インターネットは,国民の社会活動,文化活動,経済活動等あらゆる活動の基盤(社会的インフラ)として利用されるようになり,国民生活に必要不可欠な存在となってきている」──。 だが,実体を知る人は全く異なる見方をする。日本レジストリサービス(JPRS)技術戦略室の民田雅人氏は,「昔のインターネットの信頼性は“たまに落ちるのは当たり前”というレベルだった」という。元々インターネットはシンプルさと柔軟性を身上に設計されている。ネットワーク側の機能は絞り,高度な処理は端末側に任せる。つまり,最低限の仕様さえ踏まえていれば,どんな端末でもつなげるオープン性がある。また,
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
某所で運用しているサーバの話なんですが、割と"SSH Brute Force Attack"がヒドく、対策を行わないといけないんですが、その前にせっかくなので、攻撃者がどんなユーザ名でログインを試みているかの統計を取ってみました。 というわけで、ログインに失敗した回数、上位10ユーザ名の一覧を取得するワンライナー。 # cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10結果は、だいたい予想通りですが、↓のような感じです。 1474 admin 1399 test 1059 123456 751 oracle 703 user 570 guest 416 web 380 www 370 info 359 backupというわけで、"admin"とか"
文:Adam O'Donnell(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-11-12 23:41 カリフォルニア大学サンディエゴ校の研究者が、Stormボットネットによって生成されているスパムメールの投下資本収益率を明らかにした。1通のメッセージに対する応答率は驚くほど低いにも関わらず、この率はスパム業者が収益を上げるには十分なものだった。 2008年のACM Conference on Computer and Communication Securityで、Stefan Savage氏、Vern Paxson氏とそのチームは、スパムメールの換算率、すなわち製品販売における広告効果を計測した結果を示す論文を発表した。同チームは、データの収集にあたり、かなり攻撃的な手法を用いている。同チームはこのために、Stormボットネットの一部を乗っ取り、彼らがコン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
