Chorizo-Scanner.com – Chorizo! New edition
How to compare loans? In case you need extra money in the form of a quick loan, clearly you should find the best offer available. Why? The answer is obvious: it’s all about money! However, when it comes to comparing different offers, it turns out that it’s not that simple. For example, various quick loans may differ not only in terms of interests and payback time, but also several other factors an
個人情報を渡さなくても認証が可能な技術の実用化へ、NEC - @IT
2006/7/19 NECは7月18日、世界最小のデータ量・世界最小計算量のプライバシー保護型認証方式を体現する曲線を発見し、同認証方式が実用化可能であることを実証したと発表した。 同認証方式は、利用者が特定グループに所属していることの証明とプライバシー保護とを世界最小データ量・世界最小計算量で実現する認証方式。グループ署名(ある権限を持つグループに所属しているかどうかを認証する技術)と呼ばれる方式の一種。今回の成果で、プライバシー保護型認証方式が具体的なアルゴリズムとして完成したため、実用化フェイズへ移行、同社では今後2年以内のサービス・製品への搭載を目指し、研究開発を進めていく。 この認証方式は、名前やIDといった個人を特定する情報を用いずに、認証対象がグループに属しているかどうかを確認することができる。また、特定の管理者のみが、認証された個人が誰であったかを認証記録から特定することが
[@IT] 月1500人が入社するリーマン・ブラザーズ、そのID管理とは
2006/7/12 「先月は1500人の社員が入社した。当社のSLA(サービスレベル契約)では24時間以内に入社した社員をITシステムに登録し、アプリケーションを使えるようにすることが求められる。これはアイデンティティ管理を自動化していないと不可能だ」。大手投資銀行、米リーマン・ブラザーズのインフォメーション・セキュリティ担当バイスプレジデント ラミン・サファイ(Ramin Safai)氏は、自社が導入したアイデンティティ管理システムの事例を紹介した。 リーマン・ブラザーズがアイデンティティ管理システムの導入を決め、プロジェクトをスタートさせたのは3年前。自社のトレーダーが起こした不正取引がきっかけだった。不正取引の実態を調べようとしたが、「その男が何にアクセスしていたかを調べるのに10人で6週間かかった」(サファイ氏)。リーマン・ブラザーズで使用されるアプリケーションは850種類に及び、
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
「TCP/IPに係る既知の脆弱性に関する調査報告書」を公開:IPA 独立行政法人 情報処理推進機構
コンピュータをはじめとしたインターネットに接続する電子機器には、インターネットの標準的な通信手順を実現するためのTCP/IPソフトウェアが組み込まれています。近年では、一般のユーザが利用する情報家電や携帯端末などの電子機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。 これらのTCP/IPソフトウェアは、これまで多くのセキュリティ上の脆弱性が公表されてきました。脆弱性情報が公表されると、それに対応した対策情報も公表され、機器ごとに脆弱性対策が実装されてきました。これらの脆弱性は、内容を理解するためには高度な技術力を必要としますが、詳細な情報をとりまとめた資料がなく、このため、新たに開発されるソフトウェアにおいて、既に公表されている脆弱性対策が実装されていない場合が数多く見受けられます。 今回の調査報告書は、このような課題に対し、既に公表されているTCP/IPに係る
Captcha Plugin公開 - Ogawa::Memoranda
Posted by: Hirotaka Ogawa @ May 21, 2006 09:38 PM | CAPTCHA™テストを使った簡単なアンチコメントスパムプラグインを作ったので公開しておきます。 Captcha Plugin.ja JP - Ogawa Code このプラグインは、以下のように、コメント時に大抵の人間には容易に解答できるがプログラムでは簡単に解けないようなテストを課すことで(この場合はSecure Codeを入力させることで)、spambotを排除するという仕組みを実現します。 Movable Typeで同様の機能を実現する方法としては、SCode - Movalog Plugins - TracやCAPTCHA によるコメントスパム対策 - Open MagicVox.netが知られています。 Captcha Pluginがこれらと異なるのは、セッションごとに(つま
発見者が語る「Winnyのセキュリティ・ホール」
米eEye Digital Security(以下,eEye)は米国時間4月21日に、Winny(ウィニー)のヒープ・オーバーフロー脆弱性(セキュリティ・ホール)に関するアドバイザリを発表しました(関連記事)。今回は、その脆弱性の処理の経緯や脆弱性の概要についてお話したいと思います。 3月22日(PST) - IPAに脆弱性の処理を依頼 先月からWinnyに関する本格的なリサーチを開始したことは、以前の「ITpro Watcher」でお伝えしました(関連記事)。リサーチで最も時間を費やしていることは、技術的な事柄ではなく、Winnyを取り巻く社会的な事柄を理解することです。 コード解析、Winnyネットワーク解析、脆弱性監査など、技術的なリサーチの基本部分は数日でほぼ完了しました。技術的な部分は私と金居の2人で事足りましたし、さほど大きなハードルもありませんでした。しかし、Winnyを取り
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
PHPでaddslashes()でエスケープしてもSQLインジェクションな穴
■data uri変換機 これはそそります。なるほどぉ。 data:text/html;charset=utf-8;base64,aHR0cDovL2xhLm1hLmxhL21pc2MvanMvZGF0YS5odG1s ■FirefoxでWindowsのクリップボードに値を設定する方法 上を踏まえて。 http://la.ma.la/misc/js/setclipboard_for_firefox.html http://la.ma.la/misc/js/setclipboard.txt Opera8.5でもいけてる気がします。 外部のサーバを利用せずにHTML単体でいけているのは、dataスキームが有効だからですね。IE7ではまだdataスキームって有効じゃないのでしたっけ? え?オーバーフローするかって?しないでしょ(笑) Firefoxでテキストをクリップボードにコピーする方法::最
脆弱なWebアプリケーションから脱却する5つのコツ
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。 Webアプリケーションと個人情報 多くの個人情報を扱うWebアプリケーションの1つに、ショッピングサイトがある。ショッピングサイト上には、利用者の名前や住所、電話番号などの個人情報が蓄積されている。それだけではなく、購入履歴やアンケートといった、他人には知られたくないような情報が登録されていることも多い。通常これらの情報は、データベース(DB)で管理されていることがほとんどだと思うが、WebアプリケーションにSQLインジェクションの脆弱性が存在すると、DB内の個人情報を一気に抜き取られてしまう。Webアプリケーションの脆弱性にはさまざまなものがあるが、個人情
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Wordの未知の脆弱性を悪用したゼロデイ攻撃が発生
はてなブログ | 無料ブログを作成しよう
超mixi足あとちょう
三井住友銀行 > 簡単!やさしいセキュリティ教室