タグ

securityとSecurityに関するcnomiyaのブックマーク (73)

  • Category:OWASP WebScarab Project - OWASP

    This historical page is now part of the OWASP archive. This page contains content that is outdated and is no longer being maintained. It is provided as a courtesy for individuals who are still using these technologies. This page may contain URLs that were once valid but may now link to sites or pages that no longer exist. Please use the newer Edition(s) like OWASP Zed Attack Proxy Project Welcome

    cnomiya
    cnomiya 2007/10/29
    プロキシ。HTTPリクエスト書き換えツール
  • http://www.machu.jp/posts/20071023/p01/

  • koress.jp: OpenIDの襲来に備えよ!

    追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooAmazonGoogleかわからないけれど、ほぼ間違いなくどこかの日の大手の

  • [ThinkIT] 第4回:セッション乗っ取り (1/4)

    今回はWebアプリケーションの脆弱性における3番目のカテゴリー「セッション乗っ取り」について解説する。 ※注意: この記事にはWebアプリケーションの脆弱性を解説する必要上、攻撃手口に関する情報が含まれています。これらの手口を他者が運営するWebサイトに向けて仕掛けると、最悪の場合刑事罰および損害賠償請求の対象となります。脆弱性の調査・検証は、必ずご自身の管理下のコンピュータシステムおよびローカルエリアネットワークで行ってください。この記事を参考にした行為により問題が生じても、筆者およびThinkIT編集局は一切責任を負いません。 Webアプリケーションのセッションとは、複数のWebページにまたがる会話処理のことである。たとえば「商品を選ぶ」「配達先を指定する」「カードで決済する」といった会話処理の流れがその例である。これらのページ間では適切に情報が引き継がれてゆくが、それは一連のHTTP

  • 仕様から学ぶOpenIDのキホン - @IT

    にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部) OpenIDってなんだろう? 現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日での普及は進んでいない状況です。 これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。 連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。 広がりつつあるブラウザベ

    仕様から学ぶOpenIDのキホン - @IT
    cnomiya
    cnomiya 2007/09/26
    OpenID=ユーザー中心の分散ID認証システム●広がりつつあるブラウザベースの認証API●「認証(Authentication)」と「認可(Authorize)」って何が違う?あ
  • WebAPI のアクセス制御に使える OAuth という仕様 - まちゅダイアリー (2007-09-25)

    WebAPI のアクセス制御に使える OAuth という仕様 - まちゅダイアリー (2007-09-25)
    cnomiya
    cnomiya 2007/09/26
    OAuth は,第三者に対して,認証を要求するリソースへのアクセスを一時的に許可するためのプロトコルです.
  • SOAにおけるXMLセキュリティゲートウェイの活用

    サービス指向アーキテクチャ(SOA)やWebサービスの疎結合性がもたらすアーキテクチャ上の大きな利点の1つは、サービスのインタフェース(ネットワークを介したサービスの呼び出しに使われる)と実装(実際のビジネスロジック)が厳密に分離されることだ。このため、セキュリティアーキテクトはSOAとWebサービスセキュリティを確保する上で、興味深い選択肢を採用できる。 例えば、SOAPのWebサービスインタフェース(下図のGetAccountBalanceなど)は、ビジネスロジック実装(JavaWebサービスのような)をホストする実際のエンドポイント上でホスティングする代わりに、XMLセキュリティゲートウェイ上でプロキシとしてホスティングすることが可能だ。つまり、XMLセキュリティゲートウェイは、セキュリティポリシーを強制し、分散型セキュリティアーキテクチャを実現する特別なサービスということになる

    SOAにおけるXMLセキュリティゲートウェイの活用
  • サイドジャッキングツール「Hamster」を試してみた - にわか鯖管の苦悩日記 _| ̄|● (2007-08-17)

    携帯にメールや電話の着信が急に増えたり スマホで今まで使用していなかったロック機能を使うようになった お出かけや外泊の機会が増えた 衣装が派手になった というケースは浮気の可能性があるかもしれません。 もし浮気を続けられると、された側は精神的に苦しい思いを続けることになり、する方も後ろめたい気持ちが膨れ上がり良いことはありません。 やめてもらいたいか、いっそのこと別れて人生をやり直すかはしっかりとした証拠がそろってから考えてもよいかと思います。 そのためには下手に動かず、東京都で興信所のプロによる浮気調査をするのが良いでしょう。 その理由としては、浮気が原因で離婚となれば慰謝料の請求が可能となり、その法的な証拠を得るには素人よりプロの方の作りだすものが決定的なものになるためです。 全てをすっきりさせて今後の人生をやり直しやすくするためにも利用することをおすすめします。

  • 窓の杜 - 【NEWS】フリーのウイルス対策ソフト「AVG Anti-Virus Free Edition」の日本語版が公開

    (株)コージェンメディアは8日、フリーのウイルス対策ソフト「AVG Anti-Virus Free Edition」の日語版を公開した。Windows 98/Me/NT/2000/XP/Vistaに対応し、非商用目的に限り無償で利用可能。現在、同社のホームページからダウンロードできる。なお、すでに英語版をインストールしている場合、日語版のインストール前にあらかじめ英語版をアンインストールしておく必要があるとのこと。 「AVG Anti-Virus Free Edition」は、チェコ共和国のGRISOFT, s.r.o.が開発するウイルス対策ソフト。常駐してリアルタイムにウイルス侵入を監視できるほか、ドライブやフォルダ単位の手動スキャン、受信メールのスキャン、スケジュールによるスキャンなどの機能を備えている。 なお8日20時現在、編集部にてダウンロードを試したところ、サーバー混雑のため

  • Aircrack-ng on BackTrack - にわか鯖管の苦悩日記 _| ̄|● (2006-12-15)

    携帯にメールや電話の着信が急に増えたり スマホで今まで使用していなかったロック機能を使うようになった お出かけや外泊の機会が増えた 衣装が派手になった というケースは浮気の可能性があるかもしれません。 もし浮気を続けられると、された側は精神的に苦しい思いを続けることになり、する方も後ろめたい気持ちが膨れ上がり良いことはありません。 やめてもらいたいか、いっそのこと別れて人生をやり直すかはしっかりとした証拠がそろってから考えてもよいかと思います。 そのためには下手に動かず、東京都で興信所のプロによる浮気調査をするのが良いでしょう。 その理由としては、浮気が原因で離婚となれば慰謝料の請求が可能となり、その法的な証拠を得るには素人よりプロの方の作りだすものが決定的なものになるためです。 全てをすっきりさせて今後の人生をやり直しやすくするためにも利用することをおすすめします。

  • Passion For The Future: 圧縮ファイルのパスワードを解読するPikazip

    圧縮ファイルのパスワードを解読するPikazip スポンサード リンク ・Pika Zip http://www.vector.co.jp/soft/win95/util/se078535.html パスワード付の圧縮ファイルは、メール添付でファイルをやりとりする際に、よく使われていると思う。こうしたファイルをメールと別に管理して年月が経過してしまうと、パスワードがわからないものがでてくる。 このPikazipZip,Rarアーカイブの忘れてしまったパスワードを検索するフリーソフト。文字列の組み合わせを総当たり戦で試すことで、忘れてしまったパスワードを解読してくれる。 便利な反面、怖いソフトである。簡単なパスワードはつけてはいけないということがよくわかる。たとえば私の名前「daiya」をパスワードにしたファイルを試験的に作成して、このソフトにかけたところ、1秒で解読に成功した。当に秘密

  • はてなダイアリーのヘルプ - はてなダイアリーXSS対策

    はてなブログのヘルプです

    はてなダイアリーのヘルプ - はてなダイアリーXSS対策
  • 開発者のための正しいCSRF対策

    著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで稿ではウェブアプリケーション開発者にとっての当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz

    cnomiya
    cnomiya 2006/11/06
    2006/11/06にブクマしてたけど、、、|結局、何が正しいのさ?