徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
イランの核開発を阻止したコンピュータウィルス「スタクスネット」がすごすぎる - FutureInsight.info
クーリエジャポン2011年7月号で紹介されていたNYタイムズの「A Declaration of Cyber-War」。イランの核開発を阻止するために作られたコンピュータウィルス「スタクスネット」の話なのだが、このウィルスがすごい。COURRiER Japon (クーリエ ジャポン) 2011年 07月号 [雑誌] 講談社 2011-05-25 売り上げランキング : Amazonで詳しく見る by G-Tools プロの仕事をするコンピュータウィルス「スタクスネット」 「スタクスネット」自体はイスラエルの世界最強との呼び声も高い情報機関「モサド」と米国の共同チームで、ブッシュ政権末期に2009年1月に開発のGoサインがでたと記事に書かれている。ウィルスの目的自体はイランの核開発を阻止することで、ウィルスのターゲットは通常のPCではなく産業用コンピュータである。 スタクスネットがコンピュー
Tomcatはどこまで“安全”にできるのか?
“安全”のためにTomcatを理解し、構築し、動作させる Tomcatはどこまで“安全”にできるのか?(1) そもそもTomcatとは何か、最新版で何が変わったのかを紹介し、環境構築や自動起動の仕方、Apacheとの連携も解説する
SSLによる安全なWebサイト作り
アクセス制限をもってしても、盗聴や改ざんには対応できない。通信経路をセキュアにしなければならない。今回は、SSLを用いてより信頼性の高いWebサイトを構築する方法を紹介する。 IP認証、ユーザー認証、データベース認証と、Webコンテンツの閲覧を制限する方法を順に紹介してきた。しかし、盗聴や改ざんには対応できない。従って、悪意を持った第三者が、個人情報や機密情報を盗聴するかもしれない。ちょっと探せば、ネットワークの通信を盗聴するためのツールが無料で公開されているのが現実だからだ。 盗聴や改ざんから身を守るには、通信信号を暗号化するのが最も簡単かつ確実な方法である。Web、すなわちHTTPの通信の暗号化には、SSL(Secure Socket Layer)を用いるのが一般的だ。なお、ApacheへのSSLの組み込み方法については連載第4回の「ApacheのSSL対応化と環境設定」を参照していた
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
Macユーザーに贈る、そろそろ入れておくといいアンチウィルス・マルウェアソフト6選 | ライフハッカー・ジャパン
Macユーザーの大多数が、システムに感染するマルウェアやウィルスを防ぐのは絶対に無理だと思っているようですが、次々と生まれる脅威からMacを守るツールもあります。 Appleも、OS Xが攻撃を受けるだろうという事実を率直に認め、以下のような説明をしています。 怪しいファイルやアプリを見つけたり、Macが不審な動きをしているのに気付いたら、アンチウィルスプログラムを実行してください。 Apple Supportより OS Xが、ウィルスなどの良からぬものから十分に身を守れ、安全だというのは、実は何の根拠もありません。完ぺきではないのです。 Snow Leopardには、ビルトインのマルウェア検出サービスがありますが、Sophosのようなセキュリティ会社からウィルス情報のデータベースが提供されるのは、大抵数ヶ月後です。OS Xは、システムはUNIXなので、ファイルやユーザーアカウントのパーミ
SankeiBiz(サンケイビズ):自分を磨く経済情報サイト
サービス終了のお知らせ SankeiBizは、2022年12月26日をもちましてサービスを終了させていただきました。長らくのご愛読、誠にありがとうございました。 産経デジタルがお送りする経済ニュースは「iza! 経済ニュース」でお楽しみください。 このページは5秒後に「iza!経済ニュース」(https://www.iza.ne.jp/economy/)に転送されます。 ページが切り替わらない場合は以下のボタンから「iza! 経済ニュース」へ移動をお願いします。 iza! 経済ニュースへ
TechCrunch | Startup and Technology News
Welcome back to The Interchange! If you want this in your inbox, sign up here. We’ll be taking a break next weekend as Mary Ann and Christine both take much-needed vacations (we didn’t
CSS2010 特別セッションプログラム - Top Seurity Collaboration Forum
世界一のセキュリティを目指す分野間連携 フォーラムがたちが上がりました。 フォーラムのページをご覧ください。 ■セッション概要 本セッションでは、日本がセキュリティにおいて世界をリード役するために、 現状で欠けている研究課題(特に複数の専門分野にまたがる領域) を明確にし、ブレークスルーのためのパートナーは誰かを議論する。 そのために、前半は各領域の立場から、他の分野への疑問、 提案などのショートプレゼンテーションを行い、 後半はそれらに関してディスカッションを行う。 ■日時 2010年10月20日 10:05-11:45 CSS2010の 一セッションとして実施します。 ■プログラム 全体を前半と後半に分け、前半は以下の8分程度のショートプレゼンテーション(発表)を 行い、後半は全員で議論を行います。 司会進行:大久保隆夫(富士通研究所) ショートプレゼンテーション: 1. "暗号20X
「中国がインターネットをハイジャックした!」:Geekなぺーじ
「中国の通信事業者がインターネットをハイジャックした!」という記事が話題になっています。 4月8日にChina Telecom(中国電信)がBGPハイジャックを行って、世界各所で通信が行えない状態が発生したのは事実ですが、ソースとなる報告書で注目しているのはハイジャックそのものではなさそうです。 日本とアメリカでの記事と、アメリカ議会の諮問機関が公開した報告書を見つつ、雑感を述べたいと思います。 ニュースを見る 日本語でのニュースには、以下のようなものがあります。 47news: 中国企業、世界のネット乗っ取り 4月8日に18分間 ITmedia: 中国の通信会社、米国へのトラフィックを18分間「ハイジャック」- 米報告 もともとはアメリカ発のニュースなので、英語のニュースも色々あります。 Fox News: Internet Traffic from U.S. Government We
Geekなぺーじ : 中国ISPがインターネットの約10%をハイジャックか?
追記:2010年11月に「中国がインターネットトラフィックの15%をハイジャックした」というニュースが世界中で流れていますが、この「15%のトラフィック」という表現には大きな誤解があります。BGPハイジャックが発生したのは事実ですが、ソースとなっている報告書とニュース報道の違いや、実測データとニュースで登場する「15%のトラフィック」の違いが指摘されています。それらに関しては、「中国がインターネットの15%をハイジャック」の嘘 をご覧下さい。 「BGPmon.net Blog: Chinese ISP hijacked 10% of the Internet」という記事で、中国のISPが世界の10%分近い経路を吸いこんでしまったと解説されています。 恐らく単なるオペミスによる経路リークなのでしょうが、約3万7千経路がハイジャックされたようです。 (ハイジャックされた経路は「こちら」をご覧下
平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
TechCrunch | Startup and Technology News
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。 同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。 問題となったのは、ログインID/パスワードを入力せずに認証を行う「クイックログイン機能」(かんたんログインと表記するサイトもある)。多くの携帯電話向けサイトで実装されているこの機能は
暗号を鍵無しで解読するパディングオラクル攻撃 | スラド セキュリティ
暗号を鍵を知らない状態で解読できるようになるというパディングオラクル攻撃が可能な脆弱性がASP.NET、Ruby on Rails、JSFなどのフレームワークで見つかっているとのこと(InfoQの記事、WatchGuardの記事)。検証ツールのPOET (Padding Oracle Exploitation Tool)も公開されている。 パディングオラクル攻撃はブロック暗号の解読エラーを利用するものである。適当な文字列を暗号文として送りつけ、パディングが不正な場合に起きる特殊なエラーもしくは処理されないという事実を利用して、その文字列が暗号文として適切かどうかを調べる。それを繰り返すことで、暗号化されたデータを鍵無しで解読できるようになるらしい。 ASP.NETではセッションクッキーの暗号化にこの脆弱性があったために、数百万のウェブアプリケーションに問題があったとのこと(threatpo
[DHT]DHTにおけるセキュリティ考察~その1 - Tomo’s HotLine
IT技術を中心に、暮らしに役立つ情報からクラシック音楽の解説まで気軽に情報発信しています。 WEBサイトはhttp://toremoro21.world.coocan.jp/ Twitterは@toremoro21です。 P2Pの基幹技術としてDHTが随分認知されてきたが、セキュリティの話になると活発な議論がされてない状況である。 ここでは、9月に開催される第2回DHT勉強会で私が講演する内容の概要をBlogにまとめたいと思う。 □DHTのセキュリティ対策 セキュリティ対策には3要素あり、通称CIAと呼ばれている。 Cは機密性、Iは完全性、Aは可用性である。今回はCIA各要素に対してDHTではどのようなセキュリティ対策をすれば良いのか提案あるいは考察をする予定である。 □DHTの大局的な観点における可用性について 全ノードが信頼できるノードである状況はまれで、通常は悪意のあるノードが存在す
![[DHT]DHTにおけるセキュリティ考察~その1 - Tomo’s HotLine](https://cdn-ak-scissors.b.st-hatena.com/image/square/b4e38426fa9529bdb687a0c8ea1406a0f5bee683/height=288;version=1;width=512/http%3A%2F%2Ftoremoro.tea-nifty.com%2F.shared-cocolog%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
なぜインテルはマカフィーを買収するのか? 同社過去最大の買収に賛否両論 | JBpress (ジェイビープレス)
これによりマカフィーは、インテルの100%子会社となり、同社の「ソフトウエア&サービス」部門の監督下に置かれる。 インテルは今回の買収について、「コンピューターにとって安全性は省電力やネットへの接続性と同様に重要」とし、セキュリティー技術とハードウエアを組み合わせて提供できるメリットを強調した。 しかし米ウォールストリート・ジャーナルなどの欧米メディアによると、本業の分野を越えてソフト事業に乗り出す同社の戦略を疑問視する声が広がっている。また60%という高額なプレミアムにアナリストらが懸念を示しているという。 この記事では、業績好調のハイテク企業がその潤沢な資金を使って企業買収し、成長の速い新市場に進出するという動きだと伝えている。 例えば、米オラクルは高性能サーバーの米サン・マイクロシステムズを買収し、サーバーとソフトウエアを組み合わせたソリューションとして企業顧客に提供している。 米ヒ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Corporation
サービス終了のお知らせ