モバイル用GWのIPアドレスを気にしてた時代もあったなぁ - とあるモバイル系エンジニアの日々
twitter始めたらすっかりブログ書かなくなってしまいましたがどうしても気になるエントリがあったので久しぶりに。 orangevtr いろいろ認識が甘すぎて唖然とする。IP制限してても今時はクローラーキャッシュからソース読めるし( http://d.hatena.ne.jp/komoriya/20090122/1232619395 )、HTTPヘッダは偽装できないとかいくらなんでも。PHP使いなのにcurl知らないの はてなブックマーク - ke-tai.org > Blog Archive > ソフトバンクの携帯用GatewayをPCで通る方法があるようです はてブでは制限文字超えちゃったのとちょっと言い回しが不遜な感じになってしまったので改めて。 ソフトバンクの携帯用ゲートウェイを、PC経由で通る方法があるとのことです。 扱う情報にもよりますが、ケータイサイトではIPアドレス帯域を制
自堕落な技術者の日記 : Black Hatの証明書Null Termination攻撃(その1?) - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 Black Hat USA 2009でDan Kaminskyがタイトルはよくわかんないんだけど、SSLサーバー証明書関連で講演してちょっと話題になっているそうだ。 最初読んだときは(MD2やMD5の証明書の問題とからめて本人も混乱してるんじゃん?と思うような記事を書いちゃうひとに騙されて)攻撃方法がよくわかんなかったので、釈然としないままでいたんだけど、わかった〜〜〜と思ってブログに書こうかなぁと思いつつも、忙しくて時間がとれなくて、もうFireFoxから修正(3.5.2)が出ていた。 今流れている文章も誰のどこが悪いのか歯切れの悪い文章が多いために、すっきりしないので、ちょっと整理しようと思う。 NULL証明書攻撃 SSLサーバー証明書は
はてなのCAPTCHAを破るプログラムは30分で書ける - やねうらおブログ(移転しました)
CAPTCHAとは、スパムコメントなどを防止するための認証画像のことである。 それにしても、はてなのCAPTCHAはひどい。無いよりマシという考え方もあるのでそれについてはあまり議論する気は無いのだが、それにしてもこれを破るプログラムは30分あれば十分書ける。 具体的には、はてなのCAPTCHAには8つの好ましくない特徴と、2つの脆弱性がある。 ■ 8つの好ましくない特徴 ・画像自体のサイズが小さすぎる。→ こんなに小さいと探索量(計算量)が小さくて済む。 ・フォントにゆがみがない → フォントはある程度変形させたほうが良い。変形させてあるとテンプレートマッチングがしにくくなる。 ・フォントが固定。→ フォントは毎回変えたほうが良い。 ・フォントを回転させていない → フォントは文字ごとにある程度ランダムに回転させた方が良い。 ・フォントサイズが一定 → フォントサイズは文字ごとにある程度
第19回 知っておきたいApacheの基礎知識 その15 | gihyo.jp
Apacheを使う大きな魅力のうちの1つが、さまざまなモジュールによって提供されている豊富な機能でしょう。本連載でも、Apacheに標準で付属しているモジュールを紹介してきました。 しかし、Apacheで利用することのできるモジュールは標準で付属できるものだけでなくサードパーティ製のものも利用することができます。標準モジュールだけでは実現しない機能がある……とお悩みの方は是非サードパーティ製のモジュールを試してみましょう。 今回は、知っておくと便利なサードパーティ製のモジュールを一部紹介したいと思います。 mod_securityでセキュリティ向上を どれだけ気を配っていても、Webアプリケーションの脆弱性は出てしまうもの。となると、前段のApacheで怪しいアクセスをはじいてしまえばある程度は安全に利用することができそうですね。そういった発想から生まれたモジュールが、mod_securi
匿名通報ダイヤル
子どもや女性を被害者とする犯罪に関する情報を匿名で受け付け、情報料を交付する事業”匿名通報ダイヤル”のサイト。提供された情報に基づき事案が解決した場合には、最高10万円の情報料を交付。事業の概要、情報料の交付の対象となる犯罪(少年の福祉を害する犯罪又は人身取引事犯)、通報の方法、FAQ等。
あの名門校も導入——お母さんが発案した子ども安全連絡網 | RBB TODAY
学校の緊急連絡網の電話連絡で、「時間がかかって間に合わなかった」「誤った内容で伝達された」「自分まで回ってこなかった」といった経験はないだろうか。個人情報が施行された2005年以降は、電話連絡網そのものを廃止した学校も多数あるという。その一方で、子どもが犠牲となる痛ましい事件、新型インフルエンザの発生などにより、子どもの安全を守るための学校と保護者の情報共有の必要性が、高まっている。 こういった問題点をPTA役員の経験を通じて肌で感じた、NTTデータのママさん社員である住田典子氏が“子どもの安全と保護者の安心を実現する”ことを目的に発案し、同社の技術力が実現したのが、メール・電話(音声)・FAXへの一斉連絡網サービス「FairCast - 子ども安全連絡網」だ。6日、住田典子氏とFairCastを導入した学校法人暁星学園・事務長の齋藤琢朗氏による、同サービスのセミナーが開催された。 Fai
JPCERT Coordination Centerソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書
こちらはご意見・ご感想用のフォームです。各社製品については、各社へお問い合わせください。 ※本フォームにいただいたコメントへの返信はできません。 返信をご希望の方は「お問合せ」 をご利用ください。
Slowloris HTTP DoS 攻撃について
ちょっと前に Apacheに新たな脆弱性発見 - スラッシュドット・ジャパン で紹介されていた脆弱性なんですけど・・・会社のお達しで各サービス毎に状況報告ってイベントがあったので、ちょいと脆弱性試験してました。そのまとめです。 Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6
JR西日本:安全への取り組み > 安全研究所 > 研究成果の活用
2007年3月には研究の成果を安全教材『事例でわかるヒューマンファクター』として発行、全社員およびグループ会社へ配付しました。4月には安全研究所員が各支社に赴き、教材のコンセプトやヒューマンファクターの定義、現場における教材の活用法などについて出前講義を行っています。 また、社内だけではなく社外からも高く評価され、業界を越えての安全への取り組みを呼びかけました。 この教材は、専門家からの評価も高く、多くのメディアにも取り上げられ、業種を問わず注目されています。 鉄道に携わる係員として最低限知っておくべきヒューマンファクターに関する事項(32項目)を抽出し、身近な事象を例にあげ、イラストや図表を豊富に盛り込んだわかりやすい内容としました。(A4版100頁)
事故は気合じゃ防げない JR西の「人為ミス研究」脚光 (1/2ページ) - MSN産経ニュース
「人はミスを犯すもの」。こんな前提に立ったJR西日本安全研究所の研究成果が注目を集めている。研究所は平成17年の福知山線脱線事故を機に3年前、立ち上げられた。信号機の点呼確認はすべて必要か、上司が部下をほめる効果はあるのか。成果は、従来の「事故は気合で防ぐもの」という鉄道界の体質を変え、自衛隊や病院、航空会社など畑違いの分野でも職員教育に取り入れられている。(森本充) 福知山線脱線事故後、JR西は、ヒューマンエラー(人為的ミス)への取り組み不足の反省から研究所を設立し、体質改善に取り組んだ。 運転や保線、事務など各部門から約25人を選び、「何がわが社に欠けているのか」探った。半年で冊子「事例でわかるヒューマンファクター」を発行した。 疲れるとどうなるか▽なぜマニュアルはあるのか▽多人数の中だと手を抜いていないか−。冊子は32のテーマを設定し、事例と解説、対策を紹介した。 社内教育向けに作ら
ASPサービスの信用度をチェックする7つの質問 | 初代編集長ブログ―安田英久
今日は、ASPやSaaSといった、外部のサービスを利用するときに、そのサービスがどれくらい信用できるかをチェックするために投げかけるといい質問の仕方を紹介します。 「おたく、セキュリティ大丈夫?」と聞いても、先方の営業さんは「大丈夫です」と言うでしょう。でも、何かあったら、被害を被るのは自社のお客さん。そして、「あれは他社のサービスが原因で」という言い訳は通じません。だから、事前に確認しておくのが大切、ということです。 以前にWeb担のサイトのセキュリティ診断を受けてみたという記事を書きましたが、その後、読者の方のサイトも診断していただいて、少しびっくりしたことがありました。というのも、そこがサイトの一部の機能に使っている他社のASPサービスに、セキュリティ上の問題が指摘されたのです。 「ほかの会社さんも使っている有料のサービスだから大丈夫だろうと思っていた」とは、Web担当者さんの言葉。
第2回DHT勉強会の情報, Overlay Weaver他
吉澤です。このサイトではIPv6やP2Pなどの通信技術から、SNSやナレッジマネジメントなどの理論まで、広い意味での「ネットワーク」に関する話題を扱っていたのですが、はてなブログに引っ越しました。 最新の記事は http://muziyoshiz.hatenablog.com/ でご覧ください。 RSSフィードは http://muziyoshiz.hatenablog.com/feed に手動で変更するか、 Feedly or Live Dwango Reader を使っている方は以下のボタンで変更ください。 ■[P2P勉強会]第2回DHT勉強会の情報 日時:2006年9月18日(月・祝) 10:00〜17:00 会場:金沢工業大学大学院 東京虎ノ門キャンパス 参加者:80名弱(講演者含む) 各講演者の持ち時間は、質疑応答を含めて40〜50分 (首藤氏の講演はDHTのチュートリアルを兼ね
「ウェブサイト構築事業者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトのセキュリティ対策を推進するため、「情報システムを安全にお使いいただくために」及び「ウェブサイト構築事業者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2009年6月8日から、IPAのウェブサイトで公開しました。 本報告書は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)において、昨年10月から行われた検討の成果です。 IPAでは、情報サービス事業者、セキュリティベンダー、セキュリティに関する有識者など約20組織に対して、昨年10月から本年3月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予
rerofumiのつぶやき » PeyPal のアカウントが不正利用されたらしい
寝て起きたら PayPal からメールが届いていた。 曰く、「貴殿のアカウントが不正利用された疑いがある故アカウントの一時ロックを行った、状況を確認されたし」とか。一緒に届いていたPayPal送金伝票メールをみると確かに覚えの無い内容ではある。”The Lord of the Rings Online” に 14.99ユーロを送金しているのだが、そんなオンラインゲーはやっていないし。 クレジットカードの不正利用は出会ったことがないのだけれども、こういった本人以外の利用なんじゃね?と思われる取引を感知してくれるシステムってのはどういうふうになっているんだろうね。かなり迅速な様だし。 さて、こんなとき PayPal ではどの様に扱われるのかというお話。 今回は PayPal 側で不正利用を感知してアカウントの一時制限を行ってくれたので、その時点でアカウントにてログインできなくなる。そのロック状
本当は怖い家庭の Rubygems - ヽ( ・∀・)ノくまくまー(2009-06-04)
● [Ruby] 本当は怖い家庭の Rubygems /usr/bin/* を勝手に荒らされるという話。今気付いただけので、ガイシュツなら無視してOK。 詳細 パッケージのディレクトリに、 とか書いておけば、その gem ファイルをインスコしちゃうと、無条件、無確認で /usr/bin/ls を上書きするのね。 gem のインスコなんてフツー root でやるし ギッハブにあるよく知らない野良 gem でも躊躇せずインスコしてるし Rubygems のセンスのなさは世界が認めるところだけど、このセキュリティ感覚は異常じゃね?俺が知る限り、これは世界一楽なバックドア仕込みフレームワーク。 使い方間違い? いやいや。もしかしたら、作者に言わせれば、 それはお前の使い方間違いだよ bin/* をチェックしてからインスコしろよ あと、野良とか入れんなよ てことなのかもしれないが、bin/* のチェ
Active Directoryで見過ごされがちなセキュリティの問題
Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるい
豚インフルエンザ 押谷仁東北大教授「新型インフルエンザではウイルス性肺炎が死因となり、亡くなるのは子どもと20代〜50代の成人という若い世代で、基礎疾患がなくても少数が重症化。日本で死亡例が出るとしたらこれから1カ月後。その時重症者を管理するICUのベッドと人工呼吸器は確実に不足。ウイルス性肺炎でARDS(急性呼吸窮迫症候群)を起こすとほとんど救命できない」@5/20 緊急報告会講演より - 天漢日乗
豚インフルエンザ 押谷仁東北大教授「新型インフルエンザではウイルス性肺炎が死因となり、亡くなるのは子どもと20代〜50代の成人という若い世代で、基礎疾患がなくても少数が重症化。日本で死亡例が出るとしたらこれから1カ月後。その時重症者を管理するICUのベッドと人工呼吸器は確実に不足。ウイルス性肺炎でARDS(急性呼吸窮迫症候群)を起こすとほとんど救命できない」@5/20 緊急報告会講演より PCR検査に掛ける規準が曖昧なため、発生数が正確に把握できていない日本。今のところ軽症例だけで済んでおり、見かけ上の発生数は鈍化しているため、 新型インフルエンザは終息する という希望的観測が溢れている。 これは疫学的に正しいのか。過去のどのインフルエンザも、 中心となる爆発的流行期間は4週間 と言われている。日本国内での感染例が報告されてから、まだ4週間経っていない。 WHOのアドバイザーを務める押谷仁
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Erlang Answers: PrivilegedPort.html
Engadget | Technology News & Reviews
Firefox まとめサイト