公開用プログラマ技術ノート | OpenFileDialogを表示するときにフリーズする不具合の解決
概要 いつからかWindows 7 64bit環境でVisualBasic.NETで開発をしているとWindows7がフリーズするようになりました。 主にデバッグ開始時、実行中ですが、ソースコードをスクロールしているだけでもフリーズすることがありました。 現象は20回に1回程度なので放置していましたが、OpenFileDialog.ShowDialog時に6回に1回程の頻度でフリーズが発生することが発覚し原因の調査に乗り出しました。 結果「C:\Windows\System32\drivers\cymon.sys」を削除すると現象が発生しないことが分かりました。 これはBookLive!Readerをインストールしたときに追加されるドライバで、BookLive!Readerのアンインストールと同時に削除されます。 そのためBookLive!Readerをアンインストールすることで現象を解決
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
「Adobe Reader」の「サンドボックス」を回避する脆弱性はなぜ危険か | RBB TODAY
トレンドマイクロ株式会社は11月27日、「Adobe Reader」のセキュリティ機能「サンドボックス」を回避する脆弱性を利用するエクスプロイトの手法、またどのようなセキュリティ対策を実施できるかについてブログで説明している。Adobe Readerのバージョン10および11がゼロデイ脆弱性を利用するエクスプロイトの影響を受けると言われており、アンダーグラウンドでは3万~5万米ドル(2012年11月22日現在、およそ250万円~410万)で販売されていると報告されている。これほど高額であるのは、このゼロデイ脆弱性を利用するエクスプロイトは、Adobe Readerのバージョン10で導入されているサンドボックス機能による保護技術を回避するため。 このエクスプロイトは、JavaScriptがソフトウェア上で無効になっている場合でも実行される。ユーザが必要とされる唯一のやりとりは、PDFファイル
暗号入門:暗号とは?|SBINS
皆様に多くのお問い合わせをいただいている暗号技術について、暗号入門と題して数回に分けて解説します。 第1回目の今回は、暗号についての基本的な説明です。 ※掲載されている情報は掲載日時点での情報です。 ネットワーク化が進んだ今日、情報が大きな価値を持つようになり、それに伴い、情報に対するセキュリティもまた同様に、大きな意味を持つようになりました。 情報の隠蔽を目的とした「暗号技術」は、数々のセキュリティ技術の中核を成すものの1つとして位置付けられています。 1970年代、米国政府(商務省標準局)はいち早く暗号の重要性を認識し、標準となる 暗号方式を公募しました。これに対しIBMが考案した「Lucifer」を元に、NSA(National Security Agency:国家安全保障局)が手を加えたものが1977年にDES(Data Encryption Standard)とし
なぜ、いま「セキュアコーディング」なのか?
なぜ、いま「セキュアコーディング」なのか?:もいちど知りたい、セキュアコーディングの基本(1)(1/2 ページ) 多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。 ソフトウェアセキュリテイをめぐる状況 今月から数回に渡って「C/C++セキュアコーディング」の連載を担当させていただくことになりました、JPCERTコーディネーションセンター(JPCERT/CC)、脆弱性解析チームの久保と戸田です。よろしくお願いします。第1回目の本記事は久保が担当します。 まず始めに、連載のタイトルにもある「セキュアコーディング」とは何なのか、言葉の整理も兼ねて、あらためて考えてみ
エフセキュアブログ : 再録:パスワードは本当にSHA-1+saltで十分だと思いますか?
再録:パスワードは本当にSHA-1+saltで十分だと思いますか? 2012年06月07日19:05 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 昨日、一部メンバーのパスワードに障害が起きたという報道を、LinkedInが認めた。 以下は彼らのブログからの情報だ: 「我々が先頃導入した強化版のセキュリティには、現行のパスワードデータベースのハッシュとsaltが含まれており、今回の影響でパスワードを変更するユーザーにも、パスワードに障害が起きていないメンバーにも利益を与えるだろう。」 ハッシュとsalt? それで十分なのか? それは以下の再録記事(アップデートを含む)で、昨年、エフセキュアのジャルノ・ネメラが呈した疑問だ。 ————— アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて - むらかみの雑記帳
'12/11/24: このブログの内容をもとに Amazon Kindle ストアで電子書籍を出版しました。 スマートフォンアプリ配信の輸出管理 作者: 村上卓弥出版社/メーカー: 村上 卓弥発売日: 2012/11/23メディア: Kindle版 クリック: 1回この商品を含むブログ (2件) を見る AppStore でアプリ配信をしようとして iTunes Connect にアプリをアップロードしようとすると、「暗号使ってるかい?」(Export Complianceのところ)という質問がされますよね?皆さん、あそこちゃんと答えてますか? ほとんどのサイトは No でいいよ、と書いてあります。が、これは間違い。アプリが暗号関連でなくても、アプリ内に暗号コードが入ってなくても、iOS の暗号を使っている場合はここは Yes と答えないといけません。 具体的には、HTTPS を使ってる場
レインボーテーブルを使ったハッシュの復号とSalt
The document discusses the use of salts in password hashing. It explains that salts are random strings that are added to passwords before hashing to protect against rainbow table attacks. It provides an example of how salts can be added to user IDs and passwords in a database to make each hashed password unique even if the original passwords are the same. The document recommends regularly generati
AndroidのSSLSocketはマルチスレッドに対応しているのか
OpenSSLを知っている人には有名な話だと思うが、OpenSSLではひとつのソケット(SSL型)に対してSSL_read()とSSL_write()を同時に呼ぶことはできない。(実際には多くの場合は動作するが、re-negotiationが動作しない) OpenSSLのFAQ この仕様は、blocking IOの時に問題となる。SSL_read()でブロックしている最中に別スレッドからSSL_write()することができないのだ。 SSL上の通信が、Read,Writeがシーケンシャルに行われるような通信の場合には問題とならないが、ReadとWriteが独立して行われる通信の場合、blocking IOのSSLは使えないことになる。 AndroidのSSL部はOpenSSLを使っているが、この辺りがどうなっているのか(制限がそのままあるのか、回避されているのか)を調べてみた。 結論として
キーボード操作でメモリ ダンプ ファイルを作成できる Windows の機能
次の種類のキーボードを使用すると、システムが直接クラッシュする可能性があります。 i8042prt ポートに接続された PS/2 キーボード に接続されている PS/2 キーボード この機能は、Windows 2000 以降のバージョンの Windows オペレーティング システムで使用できます。 USB キーボード この機能は、Windows Vista 以降のバージョンの Windows オペレーティング システムでのみ使用できます。 Hyper-V キーボード この機能は、Windows 10 バージョン 1903 以降の Windows オペレーティング システムで利用できます。 構成 キーボードを使用してシステムクラッシュを有効にするには、次の設定を構成します。 クラッシュ ダンプ ファイルを書き込む場合は、そのようなダンプ ファイルを有効にする必要があります。 パスとファイル名
共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
「脅威はどこからやってくる?」をGoogleマップで - @IT
2008/08/05 ラックは8月5日、インターネット上のさまざまな脅威の発信源をグラフィカルに表示するWebサイト「脅威は世界中からやってくる」を公開した。 ラックでは、ウイルスやワームの検体を入手したり、不正アクセスや攻撃手法を把握するためのおとりサーバ、「ハニーポット」を設置している。新サイトでは、このハニーポットで検知した脅威の発信源のIPアドレスをGoogleマップにプロットし、世界のどこから攻撃がやってきているかを表示している。 ラックはこれにより、「脅威は国境を越えてやってきて、私たちの身近に迫ってきている」ことが直感的に理解できるとしている。 なお一連の情報は、ハニーポットで検知した脅威のうち最新500件を分析したもので、30分ごとに更新される。縮尺を拡大していくと、攻撃元として特定の建物や場所が指し示される場合もあるが「プロットされた位置の緯度・経度は、必ずしも正確ではな
Mac OS X Security Configuration Guide
The Security Configuration Guide is designed to give instructions and recommendations for securing Mac OS X and for maintaining a secure computer. The Mac OS X Security Configuration Guide provides an overview of features in Mac OS X that can be used to enhance security, known as hardening your computer. To use these guide, you should be an experienced Mac OS X user, be familiar with the Mac OS X
人の造りしもの――“パスワード”の破られ方と守り方
パスワードを破るのも人ならば、それを守るのも人。今回はあなたのパスワードを守るために、「今すぐできること」を解説します。 ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 第8回「魂、奪われた後――弱いパスワードの罪と罰」では、攻撃者がシステムへ侵入した後、どのようなことを行うのかをペネ
OpenSSH 情報 - [misc][暗号] 原理から学ぶネットワーク・セキュリティ?
日経Linuxに掲載されていたらしい記事「原理から学ぶネットワーク・セキュリティ」がITproで掲載されています. 第4回と第5回を読みましたが, 内容に多くの間違いが見られます. 原理から学ぶネットワーク・セキュリティ 第4回 ハッシュ関数:ITpro 原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局:ITpro 年内中くらいに時間を見つけて指摘したいと思います.(他のだれかがやってて/やってくれるといいんですけどね) (2008/01/06)第4回, 第5回について指摘しました. TrackBackから辿ってください. それ以外の回は見たら指摘したくなりそうなので見ていません. (2008/01/09)杜撰な研究者の日記において, 第1〜4回に対する評がありました. 1〜3回もだめな記事のようです. 杜撰な研究者の日記: 原理から学ぶネットワーク・セキュリティ(1)
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.triplefalcon.com/Lexicon/Encryption-Block-Mode-1.htm
文字とXSSの関係
ウノウラボ Unoh Labs: いまさら、ディレクトリトラバーサルについて語ってみる