タグ

securityに関するJ138のブックマーク (296)

  • 「サニタイズ言うなキャンペーン」私の解釈

    高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)

  • 迷惑メールの○○○@herpkeepidnapedreambga.jpから送られてきた。 | 今日も俺は空・寝・遊

  • 「eEye Research Web」がスタート

    eEyeでは、以前よりセキュリティ研究に特化したWebサイトの準備を進めてきました。そして8月1日に準備が整い、一般公開することとなりました。 このWebサイトは、eEyeリサーチ・チームの研究成果を発表する場です。論文や講演資料、ツール、セキュリティ・アドバイザリなどを一般に無償提供します。eEyeのビジネスにとらわれることなく、ベンダー中立で面白い研究成果を出していきたいと考えています。私はこのeEye Research Webで、日の皆さんにお役に立てるような研究成果を出していければと思っています。 eEyeアドバイザリ このWebサイトでは、「http://www.eeye.com」で公開していたアドバイザリをすべて閲覧できます。URLは、http://research.eeye.com/html/advisories/です(日語版については、住商情報システムのWebサイトをご

    「eEye Research Web」がスタート
  • aguse.jp: ウェブ調査

    あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。

  • 高木浩光@自宅の日記 - 「VeriSignシール」という幻想

    ■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実

  • 高木浩光@自宅の日記 - KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」

    ■ KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 これまで、契約者固有ID(サブスクライバID)について、それ単体では「個人情報」(日の個人情報保護法が言う)に該当しないという法解釈は存在した。それは、個人情報保護法がそういう法律だから(プライバシー保護の法律じゃないから)そういうものだという話*1だった。それでも、4月3日の日記にも書いたように、ウィルコムからは、「CPに対しても個人情報保護法に従った慎重な取扱いを求めています」という回答を得ていた。 ところが、auのKDDIが、以下のQ&Aを掲載していることに気づいた。 EZ番号(固体識別番号)を変更したい。, auお客様サポート よくあるご質問 「EZ番号」(固体識別番号)はau電話ごとに割り振られており、変更することができません。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知さ

  • 高木浩光@自宅の日記 - ?utm_source=twitterfeed&utm_medium=twitter

    ■ 2ちゃんねるが日のインターネット終了の引き金を引くか 一昨年、 日のインターネットが終了する日, 2008年7月10日の日記 これを書いたとき、ケータイから一般のインターネット端末へと青少年の使用端末が移行するであろう近い将来、青少年ネット規制法の改正によって、日のインターネットが強制終了となるというシナリオを想定した。スマートフォンが開花しつつある今、その運命の分かれ目は間近に迫っている。 そういう岐路に立たされている今、一昨日の日記「ケータイIDに添えて年齢情報も送信されるようになる?」に書いたように、青少年の保護を口実に、年齢情報までインターネット接続事業者に送信させようという動きが出てきている。総務省研究会の提言案自身が述べているように、悪いことをしようとする者を排除することはできないわけで、いくらかハードルを上げることで悪事のコストを高めることはできるだろうけども、それ

  • chkrootkit -- locally checks for signs of a rootkit

    chkrootkit is a tool to locally check for signs of a rootkit. It contains: chkrootkit: shell script that checks system binaries for rootkit modification. ifpromisc.c: checks if the interface is in promiscuous mode. chklastlog.c: checks for lastlog deletions. chkwtmp.c: checks for wtmp deletions. check_wtmpx.c: checks for wtmpx deletions. (Solaris only) chkproc.c: checks for signs of LKM trojans. c

  • 携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog

    最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、書にはブログやSNSなど認証が必要なアプリケーションも登場する。書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て

    携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
  • 車載システムへの攻撃で自動車が制御不能に、研究者がセキュリティ問題を指摘

    攻撃者が自動車の電子制御システムに侵入すれば、ブレーキを効かなくさせたり、逆にブレーキを強制して車を急停止させたりすることができてしまう。 米ワシントン大学とカリフォルニア大学サンディエゴ校の研究者が自動車のセキュリティ問題について分析した論文をまとめた。自動車を制御する車載システムに攻撃を仕掛ければ、運転手の操作を無視してブレーキをかけたりエンジンを停止させたりすることが可能になり、自動車の安全に深刻な影響をもたらしかねないという。 現代の自動車はコンピュータで監視・制御され、内部ネットワーク経由でコントロールされるようになった。車載式故障診断システムや、Bluetoothなどの短距離無線通信システムなども搭載されるようになったほか、無線接続を介した事故発生時の自動対応や遠隔診断、盗難車発見などの機能を搭載した車種もある。 研究チームはこうした車載デジタルコンポーネントと内部ネットワーク

    車載システムへの攻撃で自動車が制御不能に、研究者がセキュリティ問題を指摘
  • 高木浩光@自宅の日記 - ウィルコムから回答「契約者固有IDは弊社にとって個人情報」

    ■ ウィルコムから回答「契約者固有IDは弊社にとって個人情報」 契約者固有ID関係でいろいろ調査していた2月、私はウィルコムに対して、以下の質問を送った。 Date: 2010/02/18 06:52:07 Subject: 個人情報保護と公式サイト掲載基準についての公開質問 WILLCOMの個人情報保護方針についてお尋ねします。 http://www.willcom-inc.com/ja/service/contents_service/create/uid/index.html の説明によれば、 > 公式サイト向けに個体識別情報の送出を行っておりますが、一般サイト向けに > は個体識別情報を送出は行っておりません。 とのことで、「個体識別情報を受け取るためには申請が必要」とあり、「審査 基準は公式サイト掲載基準と同等」とあります。 そこで「公式サイト掲載基準」 http://www.w

  • ClamXav

    The Mac security solution Protects against Malware Blocks Viruses, Adware & Ransomware Single licence key for all devices Multiseat discounts 30 day free trial Download 30 day Free Trial Buy now For Home & Student Use With the ClamXAV scanner heading off any security threats to your Mac, it's easy to get rid of unwanted intruders at home

  • 長崎の中学校長が割れウイルス感染!? ロリ画像続々発見:【2ch】ニュー速VIPブログ(`・ω・´)

  • 定番ソフトが惨敗!ウイルスソフト最強決定戦は意外な結果に | 教えて君.net

    ニコニコ動画で、有名セキュリティソフトを使って実際にマルウェアを検出できるかどうかを実験した動画が話題となっている。対象となっているのは国内外の有料・無料ソフトのほぼ全て。注目の結果は、実に驚くべきものになっているぞ。 この動画の投稿主は、100体のマルウェアに感染した状態のパソコンで、各社セキュリティソフトを使ってスキャンを行い、検出力を比較したとのこと。結果は以下の通りだ。 1位 F-secure internet security 94/100 2位 kaspersky 93/100 3位 a-squared Free 89/100 4位 BitDefender 86/100 5位 ウイルスバスター 85/100 6位 GDATA 84/100 6位 COMODO Internet Security 84/100 8位 Mcafee トータルプロテクション 83/100 9位 Avi

  • docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]

    ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして

  • XSSとセキュリティリスク - ぼくはまちちゃん!

    こんにちはこんにちは!! 今日、はてなの人気記事を見ていてこんな記事がありました…! ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです! でもそんなプログラムをWeb上で公開すんじゃねーよボケと。 PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな ふむふむ、PHPで簡単につくっちゃうのは良いけど、 公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね って記事ですね! でもぼくは、この記事を読んでも… なぜXSSがいけないのか 結局よくわかりませんでした…。 いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど… フォームに入力したHT

    XSSとセキュリティリスク - ぼくはまちちゃん!
  • PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな

    タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!

    PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
  • XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会

    適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ

    XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
  • カラースター欲しい! - ぼくはまちちゃん!

    こんな記事があったので 脆弱性報告の謝礼を「はてなポイント」や「カラースター」で代用するという風習がある XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会 さっそく報告してきたよ。 レアスター楽しみだなー。 (追記) ウソ技でした…ひどい…。

    カラースター欲しい! - ぼくはまちちゃん!
  • PHPがいかに駄目な言語か、という話。 - Matzにっき(2008-01-26)

    << 2008/01/ 1 1. 年賀状 2. ゴビウス 3. [Ruby] ZSFA -- Rails Is A Ghetto 2 1. 新年会 3 4 1. The Mythical 5% 5 6 7 8 1. [言語] Substroke Design Dump 2. [言語] A programming language cannot be better without being unintuitive 3. [OSS] McAfee throws some FUD at the GPL - The INQUIRER 9 1. [言語] Well, I'm Back: String Theory 2. [言語] StringRepresentations - The Larceny Project - Trac 10 1. [Ruby] マルチVMでRubyを並列化、サンと東大

    PHPがいかに駄目な言語か、という話。 - Matzにっき(2008-01-26)