開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
住基ネットのパスワードがWinnyネットワークに流出 | スラド
あるAnonymous Coward曰く、"毎日新聞の29日の記事によると、北海道斜里町の地方公務員が、住民基本台帳ネットワークシステムの操作マニュアルや接続パスワードなどを含む約20のファイルを「住基ネット」というフォルダに入れてWinnyが稼働している自宅PCにコピーし、ウィルス感染によってそれらの機密情報を Winnyネットワークに流出させたらしい。 記事によると、流出中のファイルには「パスワード入力画面が出たら××と入力する」などと記載されているとのこと。 住基ネット全国センターは町に厳重に抗議すると話している。 また、住基ネット全国センターが各市区町村に送った「セキュリティホールの対策について」という2004年8月3日付の通知文も流出中だそうで、ブラウザの脆弱性について速やかに対応するよう求める内容になっている。住基ネットでもInternet Explorerが使われているとは驚
ぷらら、Winny通信をシャットアウトへ
ぷららネットワークスは3月16日、Winnyによる通信の完全規制を5月をめどに始めると発表した。Winnyを介した情報流出が相次いでいるのを受けた処置で、ぷららからはWinnyの使用は事実上不可能になる。Winnyのトラフィック量を規制しているISPはあるが、完全規制は珍しい。 Winny独特のトラフィックパターンを判別し、合致する通信を自動的に遮断する方針。このためぷららユーザーは、ぷらら経由からはWinnyは使用できなくなる。 同社は2003年11月より、当時上りトラフィックの6~8割を占めていたWinnyおよびWinMXの帯域を制限する措置を講じてきた。今回の規制では、Winnyによる通信を「完全に」規制する。なお、トラフィックパターンに基づく規制であり、コンテンツの中身による制御ではないため、電気通信事業法に抵触するものではないとしている。 Winny経由で意図しない個人情報や機密
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
映画「Mr. & Mrs.スミス」のDVDにrootkit | ネット | マイコミジャーナル
F-Secureによれば、ドイツでリリースされた映画「Mr. & Mrs.スミス」のDVDにrootkitが仕込まれていたことが明らかになった。著作権管理技術(DRM)のために組み込まれたものだが、rootkitは一般的に、クラッカーがターゲットPCに不正侵入した後で利用するクラッキングツールだ。 このDVDに使われていたのはSettecのコピー防止技術Alpha-DVDで、F-Secureはrootkitやステルス型ウイルスなどを検出するツール「F-Secure Blacklight」で確認した。このAlpha-DVDでは、rootkitの機能を用いてプログラム自体を隠しており、起動していてもシステムプロセスには表示されない。ただ、プログラムが使うファイルやレジストリ値は隠されていないため、ウイルス対策製品で検出することは可能だという。 F-Secure Blacklightで「wts
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
Yahoo! 足あとちょう(ver.302) :: ぼくはまちちゃん!
Yahoo! 足あとちょう (ver.302) ※IE系のブラウザかつ、Yahoo!ログイン済みだったら、うまくいけば↓にYahoo! IDが表示される…! きみのYahoo! IDをとってこれるってことは、他の情報もとってこれるかもしれないね! それどころか、 掲示板への書き込みとか、メールとかの、何らかの操作もできちゃうかもしれない! きみのIDで…!(できるかどうかは調べてないけど) もし単にIDの文字がとれるだけだったとしても、 人によってはヤフオクの履歴(評価)なんかはすごい個人情報だったりするから、注意しないとね! 架空請求とかに利用されたらきっと怖いよ! 下のリンクにある、他の足あとちょうと組み合わせたりするのも、かなりヤな感じ…! mixiの誰それさんは、xxx県在住で、ヤフオクでxxxxを買っている とかね。 これも CSSXSS っていうIEのセキュリティホールを使った
[CRYPTO-GRAM日本語版]Internet Explorerはヤバイ
この調査結果は2005年8月に発表されたのだが,私はその存在を見逃していた。研究グループは,2004年の1年間Internet Explorer(IE),Firefox,Operaという3種類のWebブラウザを追跡調査し,「危険であると知られていた(known unsafe)」日数を数えた。ここでの「危険であると知られていた」の定義は,「遠隔地から悪用される可能性のあるセキュリティ・ホールが公表されたにもかかわらず,修正パッチが提供されていない状態」である。 それによると,IEは98%が危険日だった。パッチ未提供の公開済みセキュリティ・ホールが存在しなかったのは,2004年を通してわずか7日だった。 Firefoxの危険日数は15%。パッチ未提供のセキュリティ・ホールが公開されていた期間は56日間だった。このうち30日間は,Macintoshユーザーだけが影響を受けるものだった。Windo
![[CRYPTO-GRAM日本語版]Internet Explorerはヤバイ](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
「安全なWebサイトの作り方教えます」---IPAがドキュメントを公開
情報処理推進機構(IPA)は1月31日,安全なWebサイトを構築および運用するためのポイントをまとめた文書「安全なウェブサイトの作り方」を公開した。同文書には,SQLインジェクションなどに悪用されるセキュリティ・ホール(脆弱性)を作りこまない方法や,サイトの安全性を向上する運用ならびに設定方法などが記されている。 同文書では,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。具体的には,「SQLインジェクション」「OSコマンド・インジェクション」「クロスサイト・スクリプティング」「セッション管理の不備」「ディレクトリ・トラバーサル」「メールの第三者中継」---を取り上げている。 また,「ウェブサイトの安全性向上のための取り組み」と題して,Webサイトの適切な運用方法や設定方法
Passion For The Future: Webやメールのパスワード一覧を表示する Protected Storage PassView
Webやメールのパスワード一覧を表示する Protected Storage PassView スポンサード リンク ・Protected Storage PassView http://www.nirsoft.net/utils/pspv.html 会員認証付のWebサイトを複数使っていると、IDとパスワードの管理が面倒である。 Internet ExplorerはサイトごとにIDとパスワード情報をしばらく保持してくれるので、再度の訪問時は自動入力、自動ログインになることが多い。だが、設定期間を超えるとセキュリティ上、情報が消されてしまうケースがある。 IE以外にもパスワードはある。OutlookなどWindows系のアプリケーションはパスワードを*****という風にアスタリスク表示で安全性を高めてくれる。しかし、パスワードをメモしたい、人に教えたいようなときには、中身がなんだったのか忘
「ボットネットで6万ドルを稼いだ人物,罪を認める」---フィンランドF-Secure
フィンランドF-Secureによると,スパマー(スパム送信者)などにボットネットを貸して6万米ドル以上を稼いだ人物が,自分の罪を認めたという。同社の技術スタッフによるブログ「News from the Lab」において現地時間1月24日に明らかにした。 その人物が活動を開始したのは2004年のこと。当時,40万台以上のボット感染マシンで構成されたボットネットを操っていたという。スパム(迷惑メール)送信の踏み台としてボットネットを貸し出したり,ボットネットを使ってアドウエア(スパイウエア)を配信したりすることで金を稼いだとされる。 有罪になれば,懲役6年に加え,賠償金を支払う必要がある。ボットネットで稼いだ6万ドルと,稼ぎで購入した自動車(BMW)も返還しなければならない。判決は5月1日に下される予定。 ◎参考資料 ◆Botmaster going down
ジャパンネット銀行がワンタイム・パスワードを採用,利用者全員が対象
ジャパンネット銀行は1月26日,ネットバンキングの取引認証にワンタイム・パスワードを採用することを発表した。同行の口座利用者の全員(およそ130万人)が対象。9月からはワンタイム・パスワードによる認証に統一し,乱数表(IDカード)を使った従来の認証方法は利用できなくなる。なお,ワンタイム・パスワードの生成には,RSAセキュリティのハードウエア・トークン「SecurID」を採用。利用者全員に配布する。 ジャパンネット銀行によれば,ネットバンキングの取引認証をトークンによるワンタイム・パスワードに統一するのは国内初の試みであるという。また,RSAセキュリティによれば,利用者全員にハードウエア・トークンのSecurIDを配布するのは世界でも初めてだという。 トークンは5月ごろから順次配布し,9月ごろをめどに完了する予定。なお,今回の取引認証の変更をはじめとするセキュリティ・インフラの強化ならびに
[CRYPTO-GRAM日本語版]オランダのボットネット
オランダの警察は2005年10月,大規模なボットネットを構築して米国企業をゆするために使った人物3名を逮捕した。逮捕時点で警察は,そのボットネットを構成しているコンピュータの数を10万台と発表した。ところが,実際の数は150万台だった。 さらに,信頼できる筋から聞いた情報によると,本当の台数は「それよりはるかに多い」そうだ。 このボットネットの規模は,今も拡大し続けているだろう。ボットが絶えずインターネットをスキャンし,感染をさらに広げようとしている。こうした動作は,ボットネットを制御するノードが停止した後も自動的に行われる。150万台,あるいはそれ以上のコンピュータの大部分では,いまだにボットが動作している。そのため,ボットネットは成長を続けているはずだ。 Copyright (c) 2006 by Bruce Schneier. ◆オリジナル記事「Dutch Botnet」 ◆「CRY
Ajax ジェスチャー認証 | 秋元@サイボウズラボ・プログラマー・ブログ
via Ajaxian ジェスチャーによる認証のアイデア自体はそれほど新しいものではないと思うが、Ajax でジェスチャー認証はけっこう面白いのではないか。 デモの使い方を説明する。 文中中央下の二つのボックス、左の “Record” ボックス内でマウス左ボタンを押しながら、自分のジェスチャーを記憶させる。 続いて、右の “Login” ボックスでマウス左ボタンを押しながら、自分のジェスチャーを伝える。 右で入力したジェスチャーが、左で保存していたジェスチャーと合致したら、ログイン成功となる。何回かやってみたが、それなりに似たジェスチャーを再現しないとログイン成功にはならない。 マウスで描いた軌跡で認証、というのは、サインの国の人らしい発想ではあると思った。 Ajaxian では、他にも同じブログから、写真に写された「概念」をヒントにクリックさせることでスパムロボットを振り落とすアイデアも
星野君のWebアプリほのぼの改造計画 第3回 Webアプリ、入力チェックで万事OK? - @IT
Webアプリ、入力チェックで万事OK?:星野君のWebアプリほのぼの改造計画(3)(1/5 ページ) 念願のWeb担当業務に異動した星野君。配属初日にセミナーのWeb申し込みフォームを3日で作る仕事を押し付けられた(第1回)。4カ月も管理者不在で放置されていたWebサーバを調べてみれば、「admin」だとか「test」だとか「old」という名前を付けられたファイルやフォルダが存在している。極め付きの大穴は、会社のWeb管理システムにSQLインジェクションが存在したこと(第2回)。 親友の山下君、メールでしか言葉を交わしたことのない「まこと先輩」の助けを得て、次々と浮かび上がるトラブルを解決する星野君に、心の休まる日は来るのだろうか? Web担当の仕事にもようやく慣れ始めた星野君。会社のWeb戦略が少しずつではあるが固まってきたこともあって、ちょこちょことした細かい要望に応える仕事をこなして
窓の杜 - 【NEWS】MS、再起動ごとにOSをもとに戻すツールを誰でも使えるよう日本語化し無償公開
マイクロソフト(株)は21日、PCを再起動するだけで、OSをインストールしたHDDの内容を、あらかじめ設定された状態に戻せるソフト「Microsoft Shared Computer Toolkit for Windows XP」日本語版を公開した。Windows XPに対応するフリーソフトで、現在同社のホームページからダウンロードできる。 本ソフトは、主に学校やネットカフェなどにおいて、不特定多数が利用する共有PCを管理するために提供されたもの。個人利用においても、子供に使わせるPCの環境が不用意な操作で壊れないように保護したり、プログラム開発のテストに使用するといった活用法が考えられる。 本ソフトの仕組みは、ユーザーがHDDに対して行ったファイル操作を、実際には本ソフトが別途確保した領域に記録し、再起動時に記録内容を破棄するというもの。ただし、Windowsの更新プログラムのインストー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トレンドマイクロの営業資料がWinnyに流出
http://gigazine.net/News/html/lg/001229.htm
脆弱性情報の売買が横行、ベンダーの対応が遅れる~シマンテック調査
Internet Week 2005 チュートリアルプレゼンテーション資料 - JPNIC