続・徳丸本のあれこれ ストレッチング処理の変更 | 水無月ばけらのえび日記
更新: 2011年7月10日9時20分頃 徳丸本のあれこれを実践してみて気付いたことの続きです。 前回、ストレッチングの回数をどうするのかが難しいと書きました。負荷を心配しつつ1000回で実装してみたのですが、実際に動かしてみると処理が一瞬で終わってしまい、速すぎて心細く感じるほどでした。 アプリケーションの機能は一通り実装し終わり、テスト運用を始めたのですが、しばらく運用してみてもログインが遅いとか、それに伴って負荷が高くなるといったことは起きませんでした。 というわけで、もう少し遅くしてストレッチパワーをためた方が良いのではないかと考え、調整することにしました。 ハッシュアルゴリズムの変更まず、ハッシュアルゴリズムをSHA512に変更しました。徳丸本 (www.amazon.co.jp)ではSHA256が使われていますが、SHA512の方が遅く、生成されるハッシュ値も長くなります。遅い
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
.NETでお手軽XSLT | 水無月ばけらのえび日記
公開: 2011年6月5日17時55分頃 とあるCSVからXMLを経由してXSLTでHTMLを生成するプログラムを作成して披露したら、「XSLTの良い処理系ってありませんか?」みたいな話に。実は.NET FrameworkにはSystem.Xml.Xsl.XslCompiledTransformというクラスがあってXSLT1.0の変換ができますので、それをそのまま使うという手があります。 Visual Studioが必要そうに思えるかもしれませんが、そんなことはなくて、以下のような手順でコンパイルすることができます。 .NET Framework デベロッパー センター (msdn.microsoft.com)から、最新の.NET Frameworkをダウンロードしてインストールする。.NET Frameworkについているcse.exeを探す。おそらく C:\Windows\Micros
ストレッチング採用の理由 | 水無月ばけらのえび日記
更新: 2011年5月30日10時50分頃 徳丸さんに誘われ、徳丸本 (www.amazon.co.jp)レビュアー中心に6名ほどで飲み食いしながら四方山話をしたり。 翌日に徳丸さんはこんなつぶやきをしておられますが、 同じく昨日の一言。「パスワードのストレッチングについては効果を疑問視する声もあったが、『教科書』にベストプラクティスとして載っている以上、最低限そこまではやるべきと主張して、徳丸本の通りに実装することにした」<こういう声は嬉しいですね 以上、http://twitter.com/ockeghem/status/73526372642988032 より これは私の発言ですね。せっかくなので、もう少し流れを補足しておきます。 サーバ側でパスワードを保存する際、パスワードそのものではなく、ハッシュ関数を通したハッシュ値を保存することが良く行われます。これによって、たとえDBの値が
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
コンテント・ネゴシエーションのわかりにくさ | 水無月ばけらのえび日記
公開: 2011年5月5日22時40分頃 本日、bAサイト (www.b-architects.com)を更新しました。コンテンツは全く変わっていないのですが、Accept-Languageによるコンテント・ネゴシエーションが行われなくなっています。 bAサイトは昔からコンテント・ネゴシエーションを実装していて、ブラウザのAccept-Languageがjaならば日本語のコンテンツを、enなら英語のコンテンツを、どちらでもなければ406 Not Acceptableを返すようになっていました。 その状態で10年ほど運用されてきたわけですが、しばしば以下のようなお問い合わせが。 日本語を使う人が海外からbAサイトを見ようとすると英語になってしまい、日本語のコンテンツを見る方法が分からない英語を使う人が国内からbAサイトを見ようとすると日本語になってしまい、英語のコンテンツを見る方法が分からな
日本ウェブ協会アカデミックプログラム Vol.7「HTML仕様書を読む」 | 作者プロフィール
JIS規格表の公開についてJIS規格表が無料では公開されていないという主旨の説明をしましたが、以下のサイトで閲覧することができます。 日本工業標準調査会:データベース検索-JIS検索 (www.jisc.go.jp)ただし、ここでできるのは閲覧のみです。ダウンロードして保存することはできませんし、印刷もできませんし、文字をテキストとしてコピーすることもできません。しかも、閲覧するにはAdobe ReaderのJavaScriptを有効にしなければなりません。 ※セキュリティ上の理由により、Adobe ReaderのJavaScriptの機能は無効にすることが推奨されています。 これは非常に不便ですので、やはり実用のためには規格表を購入することをお勧めしますが、「無料では公開されていない」という説明は事実に反するものでした。お詫びして訂正いたします。 RFCの状態を確認する方法についてRFC
DNSリバインディング問題の確認方法 | 水無月ばけらのえび日記
公開: 2010年3月22日23時0分頃 「かんたんログイン」DNSリバインディング耐性のチェック方法 (www.hash-c.co.jp)。 IPアドレスを調べ、携帯端末からIPアドレスでアクセスしてみて問題なくアクセスできたらNG、という確認方法ですね。基本的にはこれで問題ないと思います。……基本的には。 実は少し前、とある携帯サイトのリニューアルのお仕事があって、いろいろテストしていたことがあります。その際、DNS Rebindingの問題についても、「IPアドレスでアクセスできないこと」をテストして確認していました。 しかし、ふと思ったわけです。厳密に言うと、「IPアドレスでアクセスできないこと」を確認するだけでは不十分で、「ニセのHost:が送られてきたときにアクセスできないこと」を確認する必要があるのではないかと。「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる
デバイスに依存するFlashコンテンツは新デバイスに対応できない | 水無月ばけらのえび日記
「iPadにFlashは来ない? タッチスクリーンとFlashの根本的問題 (slashdot.jp)」。アクセシビリティやユーザビリティを専門としない人には、ちょっと分かりにくそうな話ですね。 既存のFlashサイトをそのまま設計通りに動作させるのは難しく、また表示することだけを実現してもユーザーにとっては満足度の高い実装とはならないとのことだ。 要するに、iPadでは既存のFlashコンテンツがロクに動かない可能性がある、という話です。……と、こう言われても、ぴんと来ない人が多いかもしれません。Flash Playerやオーサリング環境をどうにかすれば解決するのではないか、と疑問に思われる方もいそうですね。 たとえば、こんな感じのFlashコンテンツを見たことがないでしょうか。 Flashコンテンツの中に、商品写真が横一列に並んでいる。商品をクリックするとリンク先に飛ぶ。商品写真のリス
漢は黙ってXSSフィルタ | 水無月ばけらのえび日記
公開: 2010年2月28日1時10分頃 とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。 「"><s>test」を入れて打ち消し線が出ることを確認する「"><script>alert(document.cookie)</script>」を入れてみる。IE8ではXSSフィルタで蹴られるが、ソース上に<script>が出ていることを確認する (「<script>」という文字列だけ消す、というような処理があるかどうか確認するため)実際にスクリプトが動作することを確認最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使
DNS Rebinding問題の所在 | 水無月ばけらのえび日記
公開: 2010年2月15日23時40分頃 「かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。 「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。 iモードブラウザ2.0対応のdocomo端末は、DNS Rebindingの攻撃に対して脆弱である。端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい。docomoのゲートウェイの問題についてはdocomo側で対応することが望ましいが、問題の性質上、対応が難しい (参考: Re:「docomoケータイのDNS Rebinding問題、
メールアドレス間違いができないような仕組みが欲しい | 水無月ばけらのえび日記
公開: 2010年2月2日15時15分頃 「iTunes、IDなりすましの恐れ アップル社調査 (www.asahi.com)」。見出しの割に、本文で言っている事例は、意図的に誰かに「なりすまし」できるわけではないように思いますが……。IDなりすましもそれはそれであるらしいとも聞くのですが、また別の話なのではないかという感じがします。 ともあれ、興味深いのはこの話。 一方、愛知県の男性は昨年末まで約2週間、iTS上で、神奈川県の男性の利用画面に入ってしまった。 神奈川の男性がIDとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのIDとして誤入力した。そのIDがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。 愛知の男性が受信メールを基にパスワードを変えると、神奈川の男性のクレジットカードで買い物ができる状態になった。ただ、愛知の男性が神奈川
Gumblarによる改竄発生中 | 水無月ばけらのえび日記
更新: 2010年1月12日15時35分頃 「GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。 原因・経緯(12月26日更新) ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。 以上、Hondaホームページ 「ストリーム」サイトに関する報告とお詫び より 4.原因・経緯 ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
楽天Webディレクション&デザイン2009: トークセッション | 水無月ばけらのえび日記
公開: 2009年12月8日0時50分頃 「楽天Webディレクション&デザイン2009 (corp.rakuten.co.jp)」(RWDD2009)というイベントがあったので参加してみました。 楽天のテクノロジー系カンファレンスは何度も開かれているのですが、今回のRWDDは編成部の方が開催されたものです。システム開発の部門ではなく、実際に普段サイトの運用を行っている現場の方たちのお話が中心です。 最初はトークセッション。三木谷氏、iモードの立ち上げに携わった夏野剛氏、元スクウェア社長の鈴木尚(ひさし)氏、の3名による楽天についてのトークです。 以下、気になったところを断片的にメモ。話がつながっていないように見えるのはメモの品質が低いせいです。その他、不正確な部分もあるかもしれません。 パネリスト自己紹介鈴木さんと夏野さんが知り合ったのはiモード版のファイナルファンタジーをつくったとき。楽
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
サンシャイン牧場の件が全国ニュースに | 水無月ばけらのえび日記
更新: 2024年3月3日15時30分頃 サンシャイン牧場の件ですが、読売新聞に出たようですね: ミクシィ、4200人の情報が3日間「露出」 (www.yomiuri.co.jp)。 リクー社が調べたところ、判明しただけで80人分の購入した計38万円分のアイテムの記録が消滅していたことが判明。さらに、クレジットカードでゲーム内通貨を購入しようとした利用者4200人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたことが分かった。 最大約4200人というのは、修正前にクレジットカードを利用した人の総数でしょうね。 80人で38万円購入というと平均5000円近いわけで、ずいぶん単価が高いように見えますが、その80人はおそらく、「前回のクレジットカードを使う」を選択して2回目の課金を行った人たちでしょう。もともと購入意欲の高い層だった上に、「Kコインが増えないので課金操作を繰り返し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱.inふたたび | 水無月ばけらのえび日記
[5610] Re:「サンシャイン牧場 アイテム課金」 | 新生鳩丸掲示板♯
bakera.jpの不具合 | 水無月ばけらのえび日記