タグ

セキュリティに関するcomeonlyのブックマーク (17)

  • 【AWSセキュリティ】簡易侵入検知のススメ | DevelopersIO

    よく訓練されたアップル信者、都元です。ブログのエントリみてればわかるとおもいますが、最近AWSセキュリティに凝ってます。 AWSにおける権限管理について知識を深め、各所に適切な設定を行って行くのは大事なことです。これが基です。しかし、自分が管理するAWSの各種リソースについて、何らかの意図しない変更があったことにすぐ気付ける体制は整っていますでしょうか? 仮に、アクセスキーが悪意のある第三者に漏洩し、当人がその事実に気づいていないケースを考えます。悪意の第三者は、きたる攻撃のタイミングに備え、各所にバックドアを仕込もうとするでしょう。 こっそりとIAMユーザを増やしているかもしれません。 アクセスキーが1ユーザにつき2つ作れることをいいことに、自分用のキーを追加で作成しているかもしれません。 IAMロールに対するIAMポリシーを書き換えているかもしれません。 セキュリティグループにおけ

    【AWSセキュリティ】簡易侵入検知のススメ | DevelopersIO
  • ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記

    不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、markedやmarkdown-jsなどの既存の変換用のJSを持ってきてもそれらがXSSしないかを確認するのは結構大変だったりする。 そういった場合には、Markdownから生成されたHTMLをRickDOMを通すことで、万が一HTML内にJavaScriptが含まれていたとしてもそれらを除外し、許可された要素、許可された属性だけで構築された安全なHTMLに再構築することができる。さらに、そうやって生成

    ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記
  • websec-room.com - websec room リソースおよび情報

    This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.

  • 『例えば、PHPを避ける』以降PHPはどれだけ安全になったか

    この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 稿では、当時のPHPの状況を振り返る手段として、この後PHPセキュリティ機能がどのように変化

  • POODLE攻撃の検知とJavaによる検証コード

    はじめに SSLv3のパディングに注目した攻撃手法であるPOODLEは、以前こちらのブログのエントリで取り上げたことがあるBEASTとCRIMEに非常によく似た攻撃です。今回はこのPOODLEについて、一般的な視点とはやや異なる、筆者独自の意見を述べてみたいと思います。 必ずしもSSLv3を無効にする必要はない POODLEの対策として書かれている情報はそのほぼ全てが「SSLv3を無効にする」というものですが、個人的には技術的にもう少し踏み込んで考えてみても良いのではないかと感じます。私は以前のエントリで次のように指摘しています。 BEASTもCRIMEも、意図しないリクエストが飛ばされ、そこにCookieが自動的に含まれてしまう点を攻撃するという意味で、CSRF攻撃の一種だと言えるでしょう。BEASTが発表されたらBEAST対策(RC4にする/TLSをバージョンアップする)を行い、CRI

    POODLE攻撃の検知とJavaによる検証コード
  • Web セキュリティに関するインターンで伝えようとしたこと - co3k.org

    これは VOYAGE GROUP エンジニアブログ:Advent Calendar 2014 の 17 日目のエントリです。 VOYAGE GROUP では もの創り実践プログラム Treasure というエンジニア向けインターンシップを開催しています [1] [2] 。 Treasure 全体の様子は既に VOYAGE GROUP エンジニアブログにて 前編 と 後編 に分けて紹介されていますが、このエントリでは、前半パートにおいて僕が担当した Web セキュリティに関する講義についてお話ししていきます [3] 。 講義は休憩や実際に手を動かしてもらいつつで 3 時間半という長丁場でしたが、なぜか随所で笑いが巻き起こる状態で非常に評判がよく、同じ内容を 独立した 1 day インターンシップとして京都でも開催 させていただけました [4] 。これもひとえに必死に内容にらいついてくれたイ

  • 2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録

    このブログを読んでいる人なら GoogleAWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P

    2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
    comeonly
    comeonly 2014/10/24
    まあ、とりあえず二段階認証してたら安心みたいなのはある。
  • OS X YosemiteのSpotlightがAppleやMicrosoftにデータを送信しているのがよく分かる動画と、それを止めるシステム環境設定とSafariの設定。

    OS X YosemiteのSpotlightがAppleMicrosoft(Bing)へ検索データを送らないようにする方法のまとめです。詳細は以下から。 OS X Yosemiteの新機能にSpotlightで検索したワードをインターネット検索(Bing)やApp Store、iTunes Storeを使用して関連が深いサイトやアプリを候補としてあげる”Spotlight Suggestions”機能が追加されましたが、これを止める方法をセキュリティ研究者のGraham Cluleyさんが掲載しています。 Appleはこの事をシステム環境設定.appの[Spotlight] > [Spotlightの検索候補とプライバシーについて]に記載しており、これが嫌な方は以下の設定で情報送信を止めることができるそうです。 Spotlight を使用すると、実行した検索クエリー、選択した Spot

    OS X YosemiteのSpotlightがAppleやMicrosoftにデータを送信しているのがよく分かる動画と、それを止めるシステム環境設定とSafariの設定。
  • JAL - JALホームページにおける2段階認証の実施について

    JALマイレージバンク(JMB)会員の方に安心してJALホームページのサービスをご利用いただくため、一部機能のご利用時に、生年月日による2段階認証を実施しております。 2段階認証の対象となる機能をご利用の際には認証画面が表示されますので、画面表示に従い生年月日(西暦8桁)のご入力をお願いします。 会員の皆さまにはお手数をおかけいたしますが、セキュリティ対応の一環としてご理解・ご協力の程よろしくお願いいたします。

    comeonly
    comeonly 2014/08/03
    俺の2段階認証の概念をぶち壊してきた。
  • よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング

    たにぐちまことさんの よくわかるPHPの教科書がこのたび改版されて、よくわかるPHPの教科書 【PHP5.5対応版】として出版されました。旧版はmysql関数を使ってSQL呼び出ししていましたが、mysql関数がPHP5.5にて非推奨となったための緊急対処的な内容となっているようです。つまり、従来mysql関数を呼び出していた箇所をmysqliの呼び出しに変更したというのが、主な変更点のようで、これ以外はあまり変更点は見あたりません。 既に、Amazonでは、熱烈な読者の方からの詳細のレビューが届いています。 神御降臨! 言わずと知れたPHPプログラミング書籍のロングセラー。 2010年9月に発売された前作の改訂版。 PHPのバージョンも最新の5.5に対応、内容は前作と殆ど同じ。 少し前に前作を購入した方も書を購入した方がいいでしょう。 【中略】 それにしても、帯の「3万人に読まれた定

    comeonly
    comeonly 2014/03/10
    よし!これから俺はドヤ顔で訳もわからずエスケープするぞ!
  • Torネットワークへの接続ユーザー数が急増、理由については不明 

    comeonly
    comeonly 2013/09/04
    もう何年も前だけど、シリアへ行った時にgoogleに接続できなくて、それでtorを教えてもらって使ってた。bloggerからはてダに乗り換えたのもその頃だったなぁ。
  • ggsoku.com

    ggsoku.com
    comeonly
    comeonly 2013/06/28
    アウトなんだけど、大抵の人は言われるがまま電話番号送信してると思うので、情強()な人が騒いで終わるんだろうなぁ。
  • JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

    はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript

    JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
  • 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

    WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ

    機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
  • LINEで「このURLをタイムラインに投稿するだけでスタンプ無料」が拡散する現状とその危険性について

    このブログでは何度も取り上げているように、LINEのタイムライン機能を媒体として、様々な噂(デマ)が広まっています。今まで、それらの噂は、悪質ではあるけれど、ある意味「子どものイタズラ」的なものでした。しかし今回、新しいタイプである「URLを含むデマ」が拡散しつつあるので、そのタイプの噂の拡散が危険である事を紹介します。LINEのタイムライン機能は、拡散能力が恐ろしく、どうしてここまで急速に拡散され、途絶えないのかが不思議なほどなのですが、この下地が悪用されるととても危険ではないかと感じています。 目次 1. LINE「タイムライン」の拡散力2. 今までの噂3. 「URLを含む噂」の危険性4. 考えられる、「URLを含んだ危険な噂」の例5. まだそういう噂は観測していないけれど・・・ スポンサーリンク LINE「タイムライン」の拡散力 たとえば、こんな雰囲気の噂が大拡散しています(抜粋)。

    LINEで「このURLをタイムラインに投稿するだけでスタンプ無料」が拡散する現状とその危険性について
    comeonly
    comeonly 2013/05/12
    もうインターネット使うの免許制にせえや。
  • パスワードリマインダが駄目な理由

    昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する(パスワードリマインダ) 新: パスワード再設定の画面のURLをメールで送信する(パスワードリセット) 新しい方式(パスワードリセット)の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワードリセットの方がよいのでしょうか。このエントリではその理由について説明します。 パスワードリマインダのリスク 良く指摘されるように、パスワードリマインダの場合、2つの問題があります。 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる これらのうち、パスワードの保存方法については別稿にゆずるとして、このエントリでは盗聴のリスクについて検

  • 「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告

    企業が手にできる最悪の保証といえば、政府によるソフトウェア使用禁止令だろう。2013年1月10日(米国時間)、米Oracleに起きたことは、まさにそれだった。米国土安全保障省(DHS)が、全てのコンピュータユーザーに対して、重大な脆弱性があることを理由に、クライアントPCJavaを無効にすべきだと警告したのだ。 関連記事 米Oracleの怠慢を批判――「Javaはアンインストールすべき」 検出不可? Javaの脆弱性を突く「ファイルなしボット」 Javaをアンインストールせずにセキュリティを高める方法 「Java 7 Update 10」に、「Red October」というグローバルマルウェアネットワークへ接続する重大な脆弱性悪用プログラム(エクスプロイト)が見つかった。そのエクスプロイトは、世界中の政府系機関にある数百台のクライアントPCに侵入し、数カ月間にわたって活動していた。 Or

    「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
  • 1