公開鍵暗号方式
1976年、 ホイットフィールド・ディフィー (Whitfield Diffie) は 暗号の世界に革命を起こしました。 それまでの暗号は、 すべて 秘密鍵暗号方式 (private key encryption system) と呼ばれるものでした。 たとえば下図のように、 A は H に、 B は A に、 C は U に… というふうに文字を置き換えることにすると、 "I LOVE YOU" は "M TVNX SVK" になります。 これならこの手紙が誰かに盗まれたとしても、 何が書いてあるか分からないので安心です。 ところが、 相手がこの手紙を読めるようにするためには、 暗号化に使った 「鍵」 を別途送っておかなくてはなりません。 鍵が漏洩する恐れがあり、 安全とはいいきれません。 ディフィーが考えたのは、 鍵を二つ使うことです。 ひとつは公開鍵 (public key)。 「公
Web 2.0時代のWebアプリケーションセキュリティー
はじめに Ajax(Asynchronous JavaScript + XML)やマッシュアップ(Mashup)に代表されるWeb 2.0技術は、そのリッチで使いやすいユーザーインターフェイスや高速なレスポンス性から、現在のWebアプリケーション開発のトレンドの一つとなっています。現在注目を集めているクラウド・コンピューティングにおいても、雲(=インターネット)から提供されるサービスを使用したり連携するために、AjaxやJavaScriptはよく用いられます。しかし、セキュリティーの観点から見ると、これらWebアプリケーションやその主要な実行環境環境であるWebブラウザーには、さまざまなセキュリティー上の脅威が存在します。図1は、IBMのセキュリティ部門の一つであるISSが公開しているセキュリティ脅威のトレンドとリスクに関するレポート2008年版によるもので、ISSが検知したWebアプリケ
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
今更だけどDNSキャッシュポイズニングについて簡単に説明するよ! - そして、DNSポイズニングがなかなか対応されない理由。 - FreeBSDいちゃらぶ日記
先日IIJの一日インターンに行ってきました。 NDAがあるので、事細かに書くことは出来ないのですが、教育的なプログラムが組まれていて非常に面白かったです。 そこで、色々お話しして、その中でDNSポイズニングがなかなか対応されない理由、当たり前の理由が聞けたので、「DNSポイズニングって何がヤヴァイのか良くわかんね」って人に向けた簡単な解説とあわせて書きたいと思います。 まず、DNSキャッシュポイズニングの何が怖いか? 簡単に言うと、 「googleに繋いだはずが全く別サイトに繋がっちゃう!」 って話です。 本当に繋ぎたいサイトと違うサイトに繋いじゃう事が出来るので、例えば 実在するショッピングサイトそっくりの偽サイト作って、ショッピングさせて。クレジットカードの番号ゲットしちゃったり、住所ゲットしちゃったり。 夢が広がる怖い事が出来ちゃいます。 きちんとしたセキュリティ対策していれば大丈夫
DNSキャッシュポイズニングの脆弱性に関する注意喚起:IPA 独立行政法人 情報処理推進機構
-放置すれば情報漏えい~信用失墜に至る可能性も。 ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年9月18日 >> ENGLISH 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「DNSサーバに対するDNSキャッシュポイズニングの脆弱性」の届出が激増していることから、ウェブサイト運営者へ注意を喚起するとともに、DNSサーバのパッチ適用や設定変更を呼びかけます。 DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました
東芝、原子力発電制御システムなどの設計データが入ったHDDを盗まれる
東芝が本日、データサーバの外付けHDDなど、複数のHDDが事業所から盗まれたことを明らかにしました。HDDの中には原子力の発電制御システムの設計データなどが含まれていたとのこと。 「原子力の発電制御システムの設計データ」と聞くと少し不安感が募りますが、犯人はいったいどのような目的で盗んだのでしょうか。 詳細は以下から。 当社事業所におけるハードディスク装置の盗難について このリリースによると、東芝は5月14日に府中事業所にてデータサーバの外付けハードディスク3台とデスクトップパソコンの内蔵HDD1台が盗まれたことを確認して、被害届を提出したそうです。 東芝が調査を行ったところ、データサーバの外付けHDDは5月12日(月)深夜から14日にかけて盗まれたとされており、デスクトップパソコンは故障のため2007年4月27日から鍵のかかった部屋に保管されていたものの、内蔵のHDDが取り外されていたこ
Flash完成! でも最後の仕上げを忘れずに - @IT
とうとう星野君が作成していたFlashが完成! 早速赤坂さんはそれを見せてもらいました。しかし赤坂さんの見方はちょっとベクトルが違っていました……。 Flashをめぐる赤坂さんの探求、番外編最終回!
Matzにっき(2008-01-29): PHP使いの反論
<< 2008/01/ 1 1. 年賀状 2. ゴビウス 3. [Ruby] ZSFA -- Rails Is A Ghetto 2 1. 新年会 3 4 1. The Mythical 5% 5 6 7 8 1. [言語] Substroke Design Dump 2. [言語] A programming language cannot be better without being unintuitive 3. [OSS] McAfee throws some FUD at the GPL - The INQUIRER 9 1. [言語] Well, I'm Back: String Theory 2. [言語] StringRepresentations - The Larceny Project - Trac 10 1. [Ruby] マルチVMでRubyを並列化、サンと東大が
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
インターネットの次:Geekなぺーじ
「A New Way to look at Networking (Google Video)」を見ました。 Van Jacobson氏による1時間21分のプレゼン映像でした。 ビデオでは、コペルニクス的発想が必要だとか、昔は電話システムを前提に皆が議論をしていたからインターネットの仕組みはあり得ないと当初は皆が言っていた、という内容の事を何度か言っています。 確かに、私も聞いていて「WinnyかBitTorrentをDRMと組み合わせたもの?」という感じの方法論を考えてしまいました。 恐らく、今の仕組みで作ってしまう方法を考えるのではなく、アーキテクチャとしてこの案を考えなくてはならないという物だと思いました。 きっと、ここで言っている話が実現するとIPの上でも動くけど、下にその他の通信形態が来ても動くという新たなアドレッシング手法に近いものを提案しているのだと思いました。 どうしても現
高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
Gmail 消失問題はパスワード漏洩が原因? - えむもじら
TechCrunch Japanese アーカイブ » Gmailの大惨事: メール大量消失の報告 によると、一部の Gmail ユーザのなかに、全てのメールと連絡先が消失してしまう事件が起こったようです。ニュースグループの投稿記事をざっと斜め読みしてまとめてみました。 メッセージ消失が起こったのは12月17日から18日にかけて。 ほとんどが、Inbox と Contacts、Sent の全てが失われた。ただし、被害が一部にとどまったと報告している人もいる。 このスレッドに報告しているのは10人弱だが、TechCrunch の記事では被害者は60人となっている。 多くの人が Firefox 2 を使用していた。ただし、IE を使用していた人もいる。 Gmail は開きっぱなしにしていて、スクリプトにより動作が遅くなっているという Firefox の警告メッセージが多数出ていたと報告している
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
情報処理推進機構:情報セキュリティ:H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
Windows管理者必携、Sysinternalsでシステムを把握する - @IT
Windows管理者必携、Sysinternalsでシステムを把握する:Security&Trust ウォッチ(43) SysinternalsというWebサイトをご存じだろうか? 何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。 筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。 Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。 このSys
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
知っていますか?脆弱性 (ぜいじゃくせい) - 情報処理推進機構(IPA)
連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp
http://www.seshop.com/event/dev/2007/data/
訂正ありご注意→セキュリティのセの字も考えてないライブドアの公衆無線LANサービス