Memory Safe ‘curl’ for a More Secure Internet
Memory safety vulnerabilities represent one of the biggest threats to Internet security. As such, we at ISRG are interested in finding ways to make the most heavily relied-upon software on the Internet memory safe. Today we’re excited to announce that we’re working with Daniel Stenberg, author of ubiquitous curl software, and WolfSSL, to make critical parts of the curl codebase memory safe. ISRG i
Goによるプライベートネットワークへのアクセスを禁止するHTTPクライアントの実装 - はこべにっき ♨
クローラのように、ユーザからの入力に応じて任意のURLにHTTPリクエストを発行するソフトウェアは、誤ってプライベートネットワークへのリクエストを処理しないようにする必要があります。悪意のあるユーザが故意にプライベートなネットワークに対してリクエストして、内部情報にアクセスするといった攻撃を行う可能性があるからです。 PerlではLWPx::ParanoidAgentやLWPx::ParanoidHandlerといったモジュールが便利です。これらのモジュールは、リクエスト先のURLをチェックしてプライベートネットワークへのリクエストを禁止してくれます。単にIPアドレスをチェックするだけでなく、ホスト名をDNSで解決して得られたIPアドレスをチェックしたり、リダイレクト先のURLをチェックしたりしてくれます。まさに偏執的です。 このLWPx::ParanoidAgentと同様の機能をもったG
可搬性の必要なデータの保全 - Qiita
計算機にあるデータの保全については、以前も暗号化による物理的な防御であるとか、遠隔地への多重管理といった観点から調べてきました。 オフサイトへの物理的な運搬については、会社のセキュリティポリシーによって暗号化が義務付けられていたりと様々でしょうが、いずれにせよ盗難や紛失等で他者の手に渡っても解読が事実上不可能であることが必須要件です。暗号化に際しては一般的に市販の製品よりオープンソースソフトウェアのほうが優れていることが多くあります。 たとえば BitLocker は Microsoft Windows に搭載されている暗号化ソフトウェアですが、これを解除することのできる業者も居るという話もあります。一方で TrueCrypt は FBI が復号に失敗したり、オープンソースソフトウェアなので第三者が監査プロジェクトを立ち上げて現バージョンに大きな脆弱性が無いことを確認するといった状況です。
mod_access_tokenをPHPから使ってみる - maru.cc@はてな
mod_access_tokenとは ウェブサイト上の画像やファイルに有効期限を指定して、ユーザーに一時的なダウンロードを許可する、ライブドアで独自開発したApacheモジュールです。このモジュールをApache Webサーバに組み込むことにより、画像やファイルをウェブ上で公開するときに有効期限をつけることができるようになり、Webアプリケーションと組み合わせる事で公開範囲の制御を行なう事が可能になります。 ソースコードはこちらから入手できます。 modaccesstoken - Secure downloading module for Apache2 - Google Project Hosting livedoor ラボ「EDGE」 開発日誌 : 「mod_access_token」の配布開始と「EDGE src」公開のお知らせ - livedoor Blog(ブログ) ファイルのア
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
Using Cryptography to Store Credentials Safely
Following our talk "Security and Privacy in Android Apps" at Google I/O last year, many people had specific questions about how to use cryptography in Android. Many of those revolved around which APIs to use for a specific purpose. Let's look at how to use cryptography to safely store user credentials, such as passwords and auth tokens, on local storage. An anti-pattern A common (but incorrect) pa
Swatchでログ監視する
1つのログを追うのに1つのSwatchを起動する必要がある。 今回は /var/log/messages と /var/log/secure を追うことにしよう。 基本的に設定ファイルは正規表現によりログから特定のものをつかむ。 ★/var/log/secure を追う★ # # Personal Swatch configuration file for Security. # for RedHat Linux 6.2 and Swatch 3.0.1 # # written by < ryosuke@cool.email.ne.jp > # # tcp_wrapper で telnet を禁止しているネットワークからアクセス # して拒絶されたことを教える。 watchfor = /in.telnetd\[[0-9].*\]: refused/ echo mail=ryosuke@co
Norton Mobile Security (Beta) : 着信拒否もできる!ノートンのセキュリティアプリ!Androidアプリ907 | オクトバ
おはようございます、タマイ・ラマです。 先月、「世界初の「Androidウイルス」が出現」というニュースが流れ、我々Androidユーザーを震撼させました。 端末の高機能化に伴い、ウイルスや悪意のあるプログラムが出現するのも必然なのかもしれません。 そこで、今回はこのような事態からの自衛手段の1つとして、セキュリティソフトで有名なノートンが開発した「Norton Mobile Security (Beta)」を紹介します。 ノートンと言えばウィルスやマルウェア検出のイメージが強いかもしれませんが、本アプリはマルウェア検出以外にも、端末紛失時における遠隔操作を使ったロック/初期化、電話・SMSの着信拒否/転送機能を備えています。 Androidの安全性と使い勝手を高めてくれる有効なアプリとなっているので、無料でベータバージョンを試用できるこの機会をお見逃し無く! では、本アプリの機能を順番に
無料セキュリティソフトの中では最強!の「COMODO」を導入 | 教えて君.net
先日のセキュリティソフトの調査で、フリーの総合環境で最も優れたウイルス検出率を示したのが「COMODO Internet Security」だ。高機能なアンチウイルスとファイアウォール機能がセットになっていて、日本語にも対応済み。さっそく導入と初期設定を解説していこう。 先日、マルウェア100体の検出率を調べたセキュリティソフト実験が話題となったが、実験結果の上位を占めたのは、有料ソフトと非常駐型の無料ソフトばかり。1位の「F-secure」と2位の「kaspersky」は有料ソフトだし、3位の「a-squared」と4位の「BitDefender」はフリーだが、常駐保護機能がないためOSの保護には使えない。5位の「ウイルスバスター」と6位「Gdata」も有料ソフト…・・・。 というように上から順に見て行って、フリーの総合セキュリティソフトで最も成績が良かったのが、6位の「COMODO I
RequestPolicy :: Firefox Add-ons
RequestPolicy's new version is under development as RequestPolicy Continued. Ultimately, I'd like RequestPolicy Continued to replace RequestPolicy. RequestPolicy development has been slow because I am working on ServerPilot, a cPanel alternative for DigitalOcean servers. Thankfully, some great community members are taking over development of RequestPolicy. ---- RequestPolicy is an extension that i
窓の杜 - 【REVIEW】“svchost.exe”とそれが管理するサービスを一覧「Svchost Process Analyzer」
「Svchost Process Analyzer」は、“svchost.exe”の詳細情報をリスト形式で閲覧できるソフト。64ビット版を含むWindows 2000/XP/Server 2003/Vista/Server 2008に対応するフリーソフトで、作者のWebサイトからダウンロードできる。なお、本ソフトの配布ファイルは圧縮されておらず、実行ファイルそのものとなっている。 “svchost.exe”とは、複数のWindowsサービスを一括管理している特別なプログラム。Windowsではサービスのグループごとに複数の“svchost.exe”が起動しているのが普通だが、どの“svchost.exe”がどのサービスを管理しているかを調査するのは面倒で、不審なサービスが起動していても気づかないことが多い。 そこで、本ソフトを使えば、“svchost.exe”とその管理するサービスを手軽に
postfix・設定・セキュリティ・スパム・対策・spam
VineLinux2.6r4 では、SMTPサーバとしてPostfixが標準でインストールされます。設定が比較的わかりやすく、動作がはやいということで人気があるようです。 ■注意するべきこと ここでは、Postfix の不正中継を禁止した設定の一例を紹介しています。 あくまで簡単な設定なので、WAN側からのローカルIPアドレスでの "なりすまし" による不正中継を防ぐため、ルータのファイアウォール機能との併用をつよくお奨めします。 また設定中は、ルータの電源を切るなどして、サーバをネットワークから切り放した方がいいと思います。(~~;; ■ルータの設定の確認 左が、前提となるネットワークの構成です。 POPの110とsmtpの25、それぞれのポートは、IPマスカレードテーブルによって、下のアドレス変換は済んでいるものとします。 g1.g2.g3.g4 ←---→ 192.168.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
無償ウイルス対策ソフト「Microsoft Security Essentials」v2が正式公開