第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
perl - EncodeでXSSを防ぐ : 404 Blog Not Found
2009年03月03日19:00 カテゴリLightweight Languages perl - EncodeでXSSを防ぐ 良記事。 第7回■文字エンコーディングが生み出すぜい弱性を知る:ITpro だけど、問題点のみ具体例があって、対策にないのが片手落ちに感じられたので、その点を補足。 結論だけ言ってしまえば、Perlなら以下の原則を守るだけです。 404 Blog Not Found:perl - Encode 入門 すでにOSCONでもYAPCでも、あちこちそちこちでこの基本方針に関しては話したのですが、ここ 404 Blog Not Found でも改めて。 Perl で utf8 化けしたときにどうしたらいいか - TokuLog 改め だまってコードを書けよハゲ入り口で decode して、内部ではすべて flagged utf8 で扱い、出口で encode する。これが
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険
■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心:知らないうちに書き換えも?, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し
高木浩光@自宅の日記 - 旧はてなブックマークで社内情報が漏洩していた可能性
■ 旧はてなブックマークで社内情報が漏洩していた可能性 昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。 はてなブックマーク - はてなブックマーク - http://192.168. たとえば次などがそれだ。 http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.1/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.2/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.3/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.4/ http://b.
高木浩光@自宅の日記 - Nyzillaをリリースすべきか迷う
■ Nyzillaをリリースすべきか迷う 29日補足: 以下について「u-aizu.ac.jpは国立大学ではない」といった指摘を受けた。「ある国立大学」とは図1のことではないのだが、最初の段落が長過ぎて読み難かったようなので、改段落を2つ挿入して段落を3つに分割する修正を施した。 大学や会社で稼働するWinny ある国立大学の事務系部局のものと思われるドメイン名のIPアドレスが、2006年からずっとWinnyネットワーク上に観測されている。これは何なのかと以前から気になっていた。[改段落挿入29日] 最近はどうなっているのかと、2009年1月20日〜24日の期間に「WinnyWalker」で観測されたWinnyノードの全部について、IPアドレスをDNSで逆引きしてドメイン名を集計してみたところ、他にも大学のドメイン名上で稼働しているWinnyノードがいくつか見つかった。[改段落挿入29日]
へぼへぼCTO日記 - CakePHPのgetClientIPを使っていいのは小学生までだよねー
PHPで開発をすることが多くなりPerlの良さを再確認している今日この頃ですが皆さんいかがお過ごしでしょうか。 さて、今日は今もっともナウいPHPのWebアプリケーションフレームワークであるCakePHPのお話を一つ。 CakePHPには組み込みコンポーネントとしてリクエストハンドラ(RequestHandler)が備わっています。 リクエストハンドリング :: 組み込みのコンポーネント :: マニュアル :: 1.2 Collection :: The Cookbook: このRequestHandlerのメソッドであるgetClientIPが小学生には危険そうだというお話。(あ、このエントリのタイトル逆w) まずはgetClientIPの実装コードを。(1.2を例にとっているが1.1もほぼ一緒である) https://trac.cakephp.org/browser/trunk/c
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
Debian JP Project - 最近の話題 - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) 残念な事に Debian の OpenSSL パッケージに脆弱性が見つかりました。見つかった問題は既に修正されていますが、 今回の問題はパッケージの更新だけで済ませられないものとなっています。 今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影
高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた
■ 朝日新聞の記事を真っ当な内容に書き直してみた 朝日新聞の 強力ウイルス、ネット銀行標的 「感染なら防御策なし」, 朝日新聞, 2008年3月3日 という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか? , スラッシュドットジャパン, 2008年3月5日 まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。 ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。 しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。 このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入
高木浩光@自宅の日記 - Wikipedia ∩ Winny で何が判るか
■ Wikipedia ∩ Winny で何が判るか 毎日新聞の朝刊にこんな記事が出た。 原田ウイルス、ウィキペディアに項目 自ら作成し更新?, 毎日新聞, 2008年1月27日 容疑者(24)が、インターネット上の百科事典「ウィキペディア」日本語版に、同ウイルスの項目を自ら作成していた可能性が高いことが26日、分かった。「ウイルス対策ソフトには全く対応していない」と、性能を誇るような文章を書き込むなど、更新も頻繁にしていたとみられる。府警もこの事実を把握。 (略)容疑者が匿名で開設したホームページ(HP)「P2P−DESTROYER」に関する項目もほぼ1人で書き込んでいた。 調べてみた。 まず、「原田ウイルス」のエントリの変更履歴から、初版の内容を見ると、次などの文が気になる。 山田ウィルスの亜種なのではなかという噂があったが、実際は山田ウィルスとは全く別物といえる。 山田ウィルスと同様
高木浩光@自宅の日記 - 脆弱性情報公表の自由 〜 コントロールを取り戻せ
■ 脆弱性情報公表の自由 〜 コントロールを取り戻せ 今日は日弁連のシンポジウムでいつもの話をしてきた。明日からSCIS 2008に行く。 ところで、先週、次のブログエントリが話題になっていた。 JPCERT/CCとの「脆弱性情報ハンドリング」の記録, DSAS開発者の部屋, 2008年1月17日 私は「脆弱性研究会」の委員を務めているから内部の人と思われるかもしれないが、現場の業務に携わっていないし、研究会の席でもJPCERT/CCが製品開発者とどんなやりとりをしているかはあまり聞かされないので、上のような事例の公表はたいへん参考になる。 これを拝見して気になったのが次の点だ。 JPCERT/CCが脆弱性情報をハンドリングすることの目的は「脆弱性関連情報を必要に応じて開示することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止める」ことにあるため、三者が足並みを揃えて向
高木浩光@自宅の日記 - オレオレ警告を無視させている大学
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
第9回 クロスサイトスクリプティングの名称と種類 | gihyo.jp
前回はWeb開発に不慣れな開発者が行いがちな、不適切なクロスサイトスクリプティング対策を紹介しました。今回は適切な対策を理解するために必要な、クロスサイトスクリプティングの本質とクロスサイトスクリプティングの種類について解説します。 クロスサイトスクリプティングの名称 「クロスサイトスクリプティング」は、よくある攻撃方法を表した名前です。サイトをまたがって攻撃用のJavaScriptコード(スクリプト)を送るので、「クロスサイト」「スクリプティング」と命名したものと考えられます。 単語の頭文字を取ると「CSS」となりますが、カスケーディングスタイルシートの「CSS」と同じになり、区別できないので「XSS」と表記されるようになりました。クロスサイトスクリプティングの解説情報には「XSS」ではなく「CSS」と表記している場合もあります。 しかし残念ながらこの名前は直感的な名前とはいえません
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
「WEPは10秒で解読可能」、神戸大と広島大のグループが発表
Debianのopensslパッケージに欠陥発覚 | スラド セキュリティ
http://neta.ywcafe.net/000678.html