Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)Qinghao vulnerabilities mining technology of cloud and virtualization platfo...
サルにもわかるRSA暗号: はじめに
So what kind of ciphers are actually used? Ciphers for authentication purposes include the password mentioned earlier. On the other hand, ciphers for the purpose of hiding information include the famous Caesar cipher and the cryptogram mentioned earlier. The details will be discussed later. This Cryptogram, can you see that the unit to be encrypted […]
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
「Snow Leopard」のインストール、「Flash」をダウングレード
あるセキュリティ専門家によると、Appleは、Mac OS X「Snow Leopard」に脆弱性のある古いバージョンの「Flash」を搭載しているという。 Appleの同最新OSをインストールすると、Adobe SystemsのFlashが最新バージョンよりもセキュリティの低い、前のバージョンに戻ってしまう。Sophosのセキュリティ専門家であるGraham Cluley氏は米国時間9月2日、企業ブログへの投稿で、Appleは、最新の脅威からユーザーを保護しないバージョン10.0.23.1をインストールしていると述べた。 「セキュリティを常に最新状態に更新している真面目なMacユーザーを、知らない間にダウングレードされるという目に遭わせるわけにはいかない」とCluley氏はブログに記している。「ハッカーらが常に、Adobeのコードのセキュリティホールを探していることは知られている。Fla
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
開発と運用の分離
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、システム統括部の駒田です。 昨今、内部統制やJ-SOXといった言葉を良く耳にしますが、 ヤフーもご他聞に漏れず、粛々と対応を進めて参りました。 今回は、その対応の一環として行った、 「開発と運用の分離」に関してのエントリーをさせていただきます。 例えばですが... 開発成果物であるソースコードをテスト終了後に改ざんし、 不正に利益を得る様なエンジニアが存在していた場合、 それはヤフーにとって、一般のお客様に対する裏切りであり、 信用の失墜となってしまいます。 このような事態を回避するため、 当開発部では開発者と運用者とを明確に分離し、 開発者はリリースモジュールに触れる事が出来ない。 運用者はソースコードに触れる事が出
最強のパスワード管理ソフト 1Password [Mac OS X]
Agile Web Solutions のパスワード管理アプリ、1Password をようやく使いこなし始めました。予想外のエラーのせいで(後述)手間取りましたが、うまく動き始めるとこれほど便利なものもありません。$30 という値段は決して安くはありませんが、それだけの価値はあります。 1Password はスタンドアローンのパスワード管理ソフトであり、ブラウザの拡張機能を通じてフォームの自動入力を便利にしてくれるツールです。一つだけマスターパスワードを決めておけば、残りのパスワードは 1Password が一元管理して、ブラウザのフォームなどに自動入力してくれます。 Firefox のパスワードマネージャもよいのですが、いろいろな理由でブラウザとパスワード管理を分離したいという方もいると思いますし、1Password を使えば対応しているブラウザに横断してパスワードを利用することができる
![最強のパスワード管理ソフト 1Password [Mac OS X]](https://cdn-ak-scissors.b.st-hatena.com/image/square/e6769fafa39c163db60881a97871d1393ca6a3d2/height=288;version=1;width=512/https%3A%2F%2Flifehacking.jp%2Fwp-content%2Fuploads%2F2017%2F01%2Fcropped-favicon2.png)
マスターキーでパスワードを管理する - 素人がプログラミングを勉強していたブログ
マスターキーとドメインからhexdigestを作って、それをパスワードにする。誰かがやっていた気がする。 #!/usr/bin/env ruby require 'yaml' require 'digest/md5' require 'getoptlong' parser = GetoptLong.new parser.set_options( ["-h", "--help", GetoptLong::NO_ARGUMENT], ["-d", "--domain", GetoptLong::REQUIRED_ARGUMENT]) domain = nil loop { opt, arg = parser.get break unless opt case opt when "-h" puts <<-EOB todo EOB exit when "-d" domain = arg end }
不用意にブログパーツを貼り付けることの危険性 - 新しいTERRAZINE
thatsping.comという、はてなダイアリーでも使用可能なブログパーツが、10月終わりくらいに使えなくなっていた。存在しないアドレスのため、Operaで進む戻るの動作が遅くなっているのがわかったので、即座にパーツををはずした。運営会社の社長ブログによると、ドメインを失効し、復活も不可能で、thatsping.jpに変更したとのことだった。 【お知らせ】ザッピングthatspingをご利用に皆様へ (銀座・新橋らへんの社長ブログ) ドメイン失効は失態だが、失敗は仕方がない。無料サービスでもあり、過度の責任を追及することもできない。が、後処理がまずい。株式会社ブログウォッチャーは、当初これを社長ブログだけで公開するに留まっていた。3日後にブログウォッチャーのお知らせページで告知したが、こういうものはトップの目立つ場所に大きく掲示すべきだろう。また、このような失態を犯していながら、告知して
The Tor Project | Privacy & Freedom Online
Defend yourself against tracking and surveillance. Circumvent censorship. BLOCK TRACKERS Tor Browser isolates each website you visit so third-party trackers and ads can't follow you. Any cookies automatically clear when you're done browsing. So will your browsing history. DEFEND AGAINST SURVEILLANCE Tor Browser prevents someone watching your connection from knowing what websites you visit. All any
ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: find a tutor Anti Wrinkle Creams fashion trends Migraine Pain Relief Healthy Weight Loss Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
ポートスキャンスクリプト - mtblue.org
ご案内:このページ「ポートスキャンスクリプト」は、ウェブサイト「 mtblue.org 」の中のページの一つです。サイト内のページを少しでも効率よく参照していただけるよう、次の機能を提供しています。ご利用ください。 サイト内検索 サイトマップ また、トップページからこのページまでのアクセスの経路を示す情報を提供しています。この情報は、ページの先頭付近と終端付近で合計二度提供されていますので、この情報が二度目に出現した箇所を、ページの終端と捉えていただくことができます。一度目の出現はこのご案内の直後です。すなわち、次のような形式で提供しています。以上で、ご案内を終わります。 HOME > PC関連 > 各種私用スクリプト > ポートスキャンスクリプト このページを表示している端末の任意のポートに対して TCP 接続を試みることで、簡易ポートスキャンを行います(したがって、UDP ポートの開放
僕は見ていた : Mac OS X 10.5 (Intel Mac)ユーザのための ClamAV インストール解説
Intel Mac 版の Mac OS X 10.5 Leopard ユーザが Clam AntiVirus(以後「ClamAV」)を新規インストールするための手順をまとめておく。単純に ClamAV をインストールするのではなく clamav-update プロジェクトのソフトウェアなどを投入して、私が考える ClamAV を最大限に活用する方針でインストールする。 目標と前提 この記事では次のことを目標とする。 ClamXavSentry を用いた疑似リアルタイムスキャン。 ClamXavSentryKeeper を活用した疑似リアルタイムスキャンの維持。 ClamdOmitScan を用いた定期スキャン。 clamav-update を用いた各種ソフトウェアの自動アップデート。 GMP をインストールしてウィルスデータベースアプデート時の警告をなくす。 GnuPG を用いた電子署名の
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
Be careful about your personal information on cyberspace.
WWW ページでの個人情報公開について考える 個人ホームページをお持ちのあなた、こんなことしていませんか? 自分や家族、友人の写真を掲載している。 住所や勤務先、家族の名前や年齢を公開している。 会社や家族のことを書いている。 恋人や配偶者との性生活について書いている。 ……そういうことをされている方もそうでない方も、是非御一読下さい。 Internet の住人は紳士淑女ばかりではないのです。 このページに関する問題で上田宛に送られてきたメールは、しばしば送付者へ の確認なしで上田の所有する WWW コンテンツ上で引用されることがあります (ただしその際には必ず匿名とし、元の文章の引用箇所の改変は行いませんの で御安心下さい)。メールだけでなく、フォーム等で送付されてきたメッセー ジに対しても同様に適用されるものとします。 はじめに 仮想的事例を考える 善意の園の住人? 見えるということ、
今も新規開発され続けるPHP 4アプリケーション - ockeghem's blog
この日記をご覧の方には先刻ご承知のことだろうが、去る7月13日に、PHP 4のEOL(End Of Life)アナウンスが公式に宣言された*1。 これによると、PHP 4のメンテナンスは2007年12月31日まで、重大なセキュリティホールへの対応も2008年8月8日までとなっている。このため、既存の膨大なPHP 4アプリケーションのマイグレーションをどうするかは大きな課題である。 ここまでは皆さんご存知の情報であろう。 しかし、PHP 4アプリケーションは今も開発され続けている。私がそれを知ったのは、Webアプリケーションの脆弱性診断をしているからである。診断にてPHPなどの脆弱性を発見した場合はこれまでも都度報告していたが、2007年7月13日以降は、PHP 4を使っているだけでも、(脆弱性ではないが)上記情報を報告し、PHP 5への移行を推奨してきた。そういうレポートを書く際には、「き
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
DMZ(DeMilitarized Zone)とは
DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。 DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。直訳して「非武装地帯」とも呼ばれる。 インターネットに公開するWebサーバなどは、外部からのアクセスを許可しているため攻撃されやすく、常に不正アクセスの危険をはらんでいる。このようなサーバと同じネットワーク内に顧客情報のような非公開の情報資産を置いておくことは大変危険である。 重要な情報資産を参照しながら外部に向けてサービスを展開しなければならない場合には、インターネットと内部ネットワークをファイアウォールによって分離
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う