なぜ、いま「セキュアコーディング」なのか?:もいちど知りたい、セキュアコーディングの基本(1)(1/2 ページ) 多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。 ソフトウェアセキュリテイをめぐる状況 今月から数回に渡って「C/C++セキュアコーディング」の連載を担当させていただくことになりました、JPCERTコーディネーションセンター(JPCERT/CC)、脆弱性解析チームの久保と戸田です。よろしくお願いします。第1回目の本記事は久保が担当します。 まず始めに、連載のタイトルにもある「セキュアコーディング」とは何なのか、言葉の整理も兼ねて、あらためて考えてみ
米BlueToad社は、ハッカー集団「Anonymous」の一派がFBIから盗んだと主張しているApple端末のUDID情報について、「自社から盗まれたものだった」と発表した。 ハッカー集団「Anonymous」の一派が米連邦捜査局(FBI)から盗んだと主張するApple端末のUDIDなどの情報をネットに掲載した問題で、デジタル出版を手掛ける米BlueToad(本社フロリダ州)は9月10日、ネットに掲載された情報は同社から流出したものだと発表した。 BlueToadのブログによれば、同社は1週間ほど前、サイバー犯罪の被害に遭ってシステムの一部に侵入され、サーバに保存していたAppleのUDIDを盗まれた。その後間もなく、同社から盗まれたUDIDがネットに掲載されたという。 流出したのはApple端末の名称とUDIDの情報で、開発作業のために収集していたものだったと同社は説明。しかし、クレジ
ソーシャルエンジニアリングは、今日最もよく使われる攻撃手口の1つだ。メディアで大きく報じられた事例もある。例えば、2011年に発生したRSA(米EMCのセキュリティ事業部門)への不正侵入事件では、標的型フィッシング攻撃に加え、エクスプロイトコードを仕込んだMicrosoft Excelファイルが用いられた(参考:共通点・傾向は? 2011年上期の情報漏えい企業に起きたこと)。 関連記事 対ソーシャルエンジニアリング攻撃機能、IE 9が競合ブラウザに圧勝 ソーシャルエンジニアリングテストは慎重に 企業が現実に直面している脅威を正しく把握するには、ソーシャルエンジニアリングを利用した侵入テストが可能な侵入テストツールキットを利用することが肝要だ。 関連記事 無料で使える、Windows向けパスワード解析/脆弱性スキャンツール9選 無料で使える、無線LANやSQL Serverなど向け脆弱性対策
サービスについて、身に覚えのないクレームを頂いた。もちろん会社としては丁寧に対応しながらも、裏ではその人の素性を調べる。そしてその人のblogやらtwitterやらそこら辺が引っかかる。そこら辺を追いかけると「ああ、この人は高木信者なんだな」って認識する。 この場合の高木信者というのは「わずかでもリスクがあれば、それを根拠にどれだけひどい罵倒中傷をしてもいいんだ、そこから考えられる『可能性』と称して憶測で悪事を行っていることにしていいんだ」と考えている人のことである。普通に指摘するだけで良い所を、わざと「過剰な悪である」と言うことを前面に押し出してクレームを付けてくる。『セキュリティ』という大義名分を得て自己満足をしたいただのサディストである。 ……というのは、もちろんその人の言動を見ればみんな薄々気付くわけで、その様子から「セキュリティって言うのはクレームのための道具なんだ」と認識されて
これはTroy Hunt氏によるSSL is not about encryptionの和訳である。@ten_forward氏による翻訳もあるが訳がわかりづらいので、ほとんど参考にせずに翻訳し直した。 SSL is not about encryption. は The basic purpose of SSL is not encryption. のように訳す。同様な文例に Copyright is not about copying. がある。@ten_forward氏による「SSLは暗号化のためのものではありません」は誤訳である。ここでは「主目的ではない」と訳す。 SSLの主目的は暗号化ではない SSLの主目的は保証することである。サイトが本物であることにある程度の信頼性を与えることで、データの送受信を行う際にデータが横取りされることも改ざんされることもなく意図した相手に届くと確信で
田中ひさてる @tanakahisateru 話題のFuelPHPのCSRFの件は https://t.co/e2Wh7p5p あたりかな。 uniqid() がもうすでに時刻に準拠した値なのに time() 付けてもねぇ、このソース公開しちゃってるしねぇということ? 2012-06-06 14:06:50
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
[追記2] { 3月31日前後からすごい流行っている模様 システムの復元ポイントが無い場合 コメント欄の方の↓のリンクがとても参考になります。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1084601615 } windows7 pro の入っているパソコンで、IEでネットサーフィンしていたら、急に英数字5、6文字くらいのexeを実行するかどうかと聞かれるメッセージボックスが出た。 「いいえ」や×で消していたら、いきなり「Write Fault Error」という感じのメッセージボックスが大量に出て、その後勝手に再起動などを繰り返し、どんどん操作不能に。 (いつ、どこから感染したかは不明) パーティション分けしたDドライブと外付けHDが空になっている\(^o^)/ と思ったらすべて隠しファイルになっていた。 (弄ばれた
以下コピペ・されたのは、こちらですね。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1284555572 まんまと「システムの復元」を実行しちゃいましたか。 「システムの復元」というのは「システムの一部復元」なので、 この方法は、例えはおかしいかもしれませんが、 指の切り傷に全身麻酔を懸けて処方するように過剰なやり方で 後々他の部分で後遺症が発生する公算が高いです。 「システムの復元」に失敗した場合は、 御自身のストックデータを外付けHDDやUSBメモリにコピーして、 「リカバリ(再セットアップ):工場出荷時の状態に戻すことです:取説参照」 を実行するのが確実です。 >正直これ以上の対策について、私の知見において対処できそうにありません。 →リカバリ回避をお望みなら、現状このFakeに関する情報は少ないようですが、 御自
shimookaです。 皆さんはPHPでデータの暗号化・復号をする必要に迫られた場合、どのようにしているでしょうか?今回は、PHPで利用可能なモジュールやパッケージとそれらのサンプルを3つほど挙げてみました。 mcrypt拡張モジュールを使った暗号化 libmcryptを利用したPHP拡張モジュールです。DES、3DES、Blowfish、RIJNDAEL(ラインダール:AES暗号とも呼ばれる)、Blowfishなどのブロック暗号をサポートしています。利用可能な暗号モードはCBC、OFB、CFB、ECBです。 PHPで利用するには、libmcryptをインストールし、configureオプションに「--with-mcrypt」を付ける必要があります。また、PHP5以降、libmcrypt 2.5.6以降が必要です。 以下は、SSHやファイル暗号化ソフトウェアなどに広く利用されているBlow
こちらは知り合いからのヘルプコール。4月12日のお昼の話。 「こないだ買ったDELLのXPノートが立ち上がらなくなった。何度やってもブルーの画面で…」 パソコンは、Dell Vostro 1510という、XPプリインストールのノートパソコン。 セットアップ作業も当方でさせてもらったものです。 「立ち上がらなくなった」という現象事態は、まぁない話ではないわけではありますが、 ブルーの画面の詳細がわからなければ対処のしようがない。 ブルー画面で止まるなら、基本的にはSTOPエラーなので、エラーコードがわかればある程度の対処の予想はつきますし、ダメかどうか、それともがんばって対処する価値があるかどうか、の判断ができます。 電話をもらったときは、「出先なので画面が確認できない」とのことで、とりあえず時間が取れた夕方に行くことに。 ※当ブログは「事例」として記録しておりますが、個人情報保護の観点から
フェイスブックのセキュリティ責任者が語る、今そこにあるリスク(前編) 明かされる「Facebook」の不正ログイン対策、スパム問題、そして競合企業との協力関係 2012/05/21 ジョー・サリバン氏は、業界で最も多くの注目を集めるセキュリティ責任者の1人だ。 ソーシャル・ネットワーキング・サービス最大手、米国フェイスブック(Facebook)のCSO(最高セキュリティ責任者)を務めるサリバン氏は、セキュリティやプライバシーに関する無数のリスクから、自社の社員や業務システムのみならず、およそ9億人に上るユーザーを保護するという重要な使命を負っている。 現在44歳のサリバン氏がFacebookに入社したのは2008年。セキュリティ分野に専念すべく、10年前に民間企業へ転身するまでは、8年間にわたり連邦検事の任を務めていた。その検事時代に培った法律の専門知識は、現職でも大きな力を発揮してい
「Microsoft Security Essentials」はインストールすべきか?:Microsoftの無料セキュリティソフト Security Essentialsに対しては懐疑的な見方もあるが、コンシューマーとスモールビジネスユーザーにとっては有用なソリューションだ。その10の理由を示そう。 Microsoftが提供を開始したWindows用の無償セキュリティソフト「Security Essentials」は現在、セキュリティ研究者による検証を受けているところだ。同製品は、XP、Vista、そして近く登場するWindows 7に対応する。セキュリティ研究者たちは、Security Essentialsのような無償製品は理想的なソリューションではないと指摘しているが、現実には、同製品は悪質なプログラムがWindows環境に大混乱を引き起こすのを防ぐのに効果を上げている。 しかし市場に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く