パスワードを平文で管理するのはダメだ | ブログが続かないわけ
最近の入門書はとにかくセキュリティ面がおろそか 今日の話は既知の人に取っては当たり前のことばかりなんだけど、こういうことって最近の入門書には書かれていないし、受託案件でクライアントから出てくる要件に含まれていることがほとんどないから、もしかしたら普通にプログラミングの勉強をしているだけでは知らないままになってしまうかもしれないと思って書いてみた。 大手プロバイダで学んだセキュリティの意識 社会人1年目は大手プロバイダで働くことになった。まだ、僕がプログラミングの世界に入る前のことだ。そこでは、お客様からのお問い合わせに対応するというのが僕の仕事だった。当時、お客様を納得させるのがとても大変だった問い合わせが、パスワード忘れに関するものだ。 お客様は、問い合わせさえすればすぐにでもパスワードを教えて頂けるものと思っているのだが、ことはそう簡単には運ばない。 パスワードの伝達手段や、問い合わせ
MD5は復号できる!? | ブログが続かないわけ
前回のエントリ(パスワードを平文で管理するのはダメだ)のブクマコメントでYappoさんから貴重な情報を頂いた。 MD5が復号できるというのだ。 しかも、それができるDigest::MD5::ReverseというCPANモジュールがあるという。 これには驚いた。いろいろな情報を当たったところ、やはりMD5などのハッシュは復号できないと書いてあるからだ。 http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0200.htm http://gimite.net/bcbqtree/qtreemain.cgi?mode=thread&thread=376 http://www.postgresql.jp/document/pg803doc/html/encryption-options.html しかし、こういうところでいう「復号できない」というのは「復号するアルゴリ
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
フィッシング(?)にご注意 - 池田信夫 blog
当ブログを丸ごとキャッシュしたサイトがあらわれた(アクセスすることはおすすめできない): http://blog.goo.ne.jp.tz.mine.nu/ikedanobuo ヤフーのブログ検索で当ブログを検索すると、トップにこのキャッシュサイトが本物と並んで出てくる(14:20現在)。この偽サイトからリンクをたどると、驚いたことに外務省からヤフーやウィキペディアに至るまで、あらゆるサイトが、このZettAgentなるサイトにキャッシュされている。ところが、このサイトにトップページはなく、グーグルでもヤフーでも、ZettAgentはまったく引っかからない。非常に新しいのかもしれない。 大規模なフィッシングの疑いがあるが、IE7のフィッシング検出機能では(かなり考えている様子があるが)引っかからない。この.nuというドメインは、怪しげなサイトに使われているようだ。グーグルの検索広告が
不正アクセス:パスワード盗み犯行、中1女子を補導―事件:MSN毎日インタラクティブ
「バンクーバー冬季オリンピック、長島圭一郎」 -- Alex Livesey/Getty Images
高木浩光@自宅の日記 - サイボウズ「闇改修」の件のその後, テスト用エントリ
■ サイボウズ「闇改修」の件のその後 一昨日の日記の件*1について、出勤前の午前中にサイボウズのお客さま対応窓口から電話があった。 電話の要件は訂正があるとのことで、以下の3点を訂正するとのことだった。(以下は私による要約。) ディレクトリトラバーサルの脆弱性については、ログインしていない者によっても攻撃され得る。告知文を訂正する。 ユーザの一覧を取得できてしまう問題について、脆弱性としなかったのは、重要度が低いと評価していたという誤った認識によるものだった。告知文を訂正する。 去年のクロスサイトスクリプティング脆弱性対応について、対策として追加された警告表示機能がデフォルトでオフとなっている理由は、既存バージョンとの互換性を考えたものであり、それはユーザが混乱するのではないかと考えたためで、そのような認識は誤りだった。今後、デフォルトでオンとするように検討する。 そしてさきほど告知ページ
韓国 IP アドレスからのパケットを遮断する
韓国(.kr)・中国(.cn)・台湾(.tw)・香港(.hk)等,アジア地域からのアクセスを フィルタリングするための iptables を用いたシェルスクリプトです。もちろん Linux 専用です。 APNIC の IP アドレス割り当てリスト に掲載されている上記の国と地域のネットワークからの TCP 接続を遮断します。 ただし,自分から上記の国と地域のネットワークへ接続することはできます。 FreeBSD をお使いでしたら,水無川研究所さんの ipfwとBINDによるNaverRobot対策フィルタ が参考になると思います(というか知ってる人ですが……)。 日本の IP 領域にアクセスしてくるワームは,おおかた上記の国と地域からのものです。特に韓国からがひどいといえます。 また,韓国には,悪名高い NaverRobot ように DoS まがいのアクセスを仕掛けてくる自称サ
うざい国からのアクセスを全て遮断
うざい国からのアクセスを全て遮断 どこぞの国からの攻撃がうざったい鯖缶さんのためのページです。 ■ フィルタを作成するためのシェルスクリプト(バッチファイル) 2007/07/01 単純にCIDR表記に置き換えることのできないデータに対応しました。多謝 世界の国別 IPv4 アドレス割り当てリスト 。 (アドレス数が768個と書かれていて一対一ではCIDR表記に置き換えられないもの、およびサブネット境界を跨いでいるもの) *NIXシステム用 (Linux iptables環境およびFreeBSD ipfw環境、Windows環境向け; perlが必要) Windowsシステム用 (Windows 2000/XP/2003/Vista対応) ■ 上記のシェルスクリプト/バッチファイルの使いかた (Windowsのみ) まずは このページ を参考にしてパケットフィルタリングを有効化します。 A
診断した5割のWebサイトで不正アクセス可能、NRIセキュア - @IT
2006/7/27 NRIセキュアテクノロジーズ(NRIセキュア)は7月26日、同社が2005年度に実施したWebサイトセキュリティ診断で、5割のWebサイトに重要情報が漏えいする可能性のある欠陥が見つかったことを発表した。 同社は顧客の依頼に基づき、実際に攻撃を仕掛けてセキュリティ上の問題を明らかにする「セキュリティ診断」サービスを提供している。2005年度(2005年4月から2006年3月末まで)に同サービスのうち「Webアプリケーション診断」を受けた56社のWebサイト167件について集計したところ、今回の結果が判明した。 診断対象のWebサイトのうち50%で、個人情報、口座情報、注文履歴など、特定ユーザーのみに閲覧が許されるべき重要情報を実際に取得することができたという。情報漏えいにつながる可能性がある欠陥が見つかったWebサイトも29%に達し、安全性が確認できたのは21%に過ぎな
■ - hoshikuzu | star_dust の書斎
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。