タグ

関連タグで絞り込む (30)

タグの絞り込みを解除

Securityとセルクマに関するbeth321のブックマーク (5)

  • 第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp

    文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl(エル)と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高

    第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp

  • 突然のアカウント乗っ取り事件続発! どう防げばいいのか?

    最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。 今回の大規模なアカウント乗っ取りは 超大手ポータルとプロバイダーへの不正アクセスと関係あり? 6月13~17日にかけて、大手のメッセージングサービスやSNS、動画共有サービスなどの運営会社3社が、大規模な「不正ログイン」の被害があったことを報告した。いずれもユーザー数の多い人気サービスで、影響の大きさもケタ違い。マスコミ各社も相次いで人気サービスの不正ログインを報じる事態となった。 大規模な不正ログインが起きたそもそもの原因はどこにあるのだろう? セキュリティの分野に造詣が深いITジャーナリストの三上洋氏は、「そもそもの発端としては、昨年の初夏頃にあった、大手のポータルサイトおよびプロバイダーを標的とした不正アクセスによる大規模流出が挙げられます」と話す。 それらの不正アクセスは2013

    突然のアカウント乗っ取り事件続発! どう防げばいいのか?

  • 数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ

    JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して

  • この国には徴被曝労働制が必要だ - 非行型愚夫の雑記

    この国には徴被曝労働制が必要だ。 この国には多数の原子力発電所がある。 原子力発電所を稼働させるにしろ廃炉するにしろ被曝労働が必要となる。 被曝労働は許容線量と作業場所の線量により一人の人間の作業可能時間は限られる。 労働者の被曝は許容線量より下に抑えねばならない。*1 その考えに立つ限り、線量の高い場所では一人の人間は短い時間しか作業できない。 そのような作業は必然的に多数の人数を必要とする。 その人数をどのように賄うのか。 人数を賄えず一部の人間に許容線量を越える作業を強いるくらいなら国民の中から徴用すべきだ。 線量の高い場所での作業が必要なのは原発事故の場合だけに限らない。 原発の廃炉においても必要となる。 原発の推進・反対に関わらず既に原発がある以上、老朽化した原発の廃炉は必要だ。 廃炉に必要な被曝労働者をどのように集めるのか。 経済的格差を利用して集めてはならないと私は思う。 未

    この国には徴被曝労働制が必要だ - 非行型愚夫の雑記

  • 大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

    このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんのを読んで「大垣流バリデーション」について勉強した結果を報告します。 はじめに 大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション」を受けてのことだと思います。id:ajiyoshiさんのエントリでは、「妥当性検証は仕様の問題であってセキュリティ対策ではありません」と明言されています。私はid:ajiyoshiさんに近い考えを持っていますので、大垣さんの主張について、私なりに考えてみました。 記事を書くにあたり、徳丸の立場を明確にしておきたいと思います。 バリデーションの基準は仕様の問題 バリデーション

    大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.