crossdomain.xml と CSRF 脆弱性について - 2nd life (移転しました)
crossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。 先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。 自分も一年半ぐらい前は、crossdomain.xml を許可ドメインすべて ('*') にして設置し
Webアプリケーションセキュリティフォーラム - Journal InTime(2007-07-05)
_ Webアプリケーションセキュリティフォーラム というわけで、発表して来た。 スライド(PDF) スライド原稿(RD) 自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。 追記: リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため) 高木先生 Greasemonkeyの説明の部分がよく聞こえなかったんですが。 奥さん (内容を説明) 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 私の心の声 (最初から聞こえてたんじゃ…) 奥さん ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。 高木先生 いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩
バックナンバー:SSHの安全性を高める
SSHサービスによって安全にリモート管理が行える点は、UNIX系OS(Linuxを含む)の美点といってよいだろう。しかし、SSHサーバの設定が不適切だったり、安易なパスワードを設定しているユーザーがいたりすると、SSHを介してクラッカーに侵入されていまうおそれがある。そこで、ここではOTPの過去記事の中から、SSHサーバを安全に運用するために有用なものを厳選して紹介する。 SSHの基本:SSHのセキュリティを高めるためのハウツー 2007年04月03日 この記事では、SSH(secure shell)サービスのセキュリティを高めるのに役立つ簡単な方法をいくつか紹介する。SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHの活動範囲を制限:SSHjailを用い
.html)
OpenSSL Manual Translation - s_client(1)
=pod =head1 NAME NAME s_client - SSL/TLS client program s_client - SSL/TLSクライアントプログラム =head1 SYNOPSIS SYNOPSIS B<openssl> B<s_client> [B<-connect> host:port>] [B<-verify depth>] [B<-cert filename>] [B<-key filename>] [B<-CApath directory>] [B<-CAfile filename>] [B<-reconnect>] [B<-pause>] [B<-showcerts>] [B<-debug>] [B<-msg>] [B<-nbio_test>] [B<-state>] [B<-nbio>] [B<-crlf>] [B<-ign_eof>] [B<-quie
「LaptopLock」でノートPCを守る
もし自分のノートPCが盗まれたら、特定のファイルを消去したり暗号化したい。Webサイトとソフトウェアからなる無料のサービス「LaptopLock」を使えばこれが可能になる。犯人が盗んだPCでネットに接続したら、接続元を特定することさえできるのだ。(Lifehacker) 【この記事は、2007年5月8日付けで米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 あなたのPCを盗んだ泥棒に、プライベートなファイルやパスワード、個人的な情報を触らせないようにしよう。無料でデータの保護とPCの取り戻しができるサービス「LaptopLock」は、あなたのPCが盗まれたときに秘密のファイルを安全に保ち、個人情報の盗難や悪用を防いでくれる。 LaptopLockのWebサイトでPCが盗まれたことを報告すれば、Windows専用の無料ソフトLaptopLockは秘密のファイルを
DNS AMP Check
ネームサーバ診断 「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断です。 好ましくない設定(キャッシュを応答する)のサーバは毒入れに対しても脆弱となります。 放っておくと、大変なことになりますよ。 あなたのお使いの機器をチェックします。(IPv6未対応 mOm) 調べたいドメインがあればどうぞ (サブドメインも可ですが一部手抜きで診断できないかもしれません)。 その権威サーバが問題のある設定でキャッシュサーバを兼ねているとNGとなります。 ドメイン名 (診断に時間のかかる場合があります) 大量のドメインのチェックを行うとアクセス制限をさせて頂くかもしれません。ご利用は控えめに ;-) Lame Delegation など総合的な診断はDNS健全性チェッカーをどうぞ 参考: DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 DNS の再帰的な問合
情報漏えいは社長、役員から――管理意識に甘さ ― @IT
2007/06/06 ガートナー ジャパンのITデマンドリサーチ データクエスト バイスプレジデントの中野長昌氏は6月6日、企業の情報セキュリティ管理について説明し、情報漏えいを引き起こす3つの特徴を指摘した。「委託先・関連会社からの流出」「携帯電話・USBメモリの紛失、盗難」を挙げたうえで、中野氏は3つ目の特徴として「企業の役員が情報漏えいなどを起こす傾向がある」と語った。 ガートナーはシマンテックの依頼で528人のビジネスパーソンにアンケート調査した。個人情報保護法が全面施行されて2年経つが、個人情報保護法施行前のアンケート結果と比べて、「パスワードによるPC、情報システムへのログイン認証が厳格化」したとの答えや、「ノートPCなどに個人情報をできるだけ保有しない」「PCのハードディスクの暗号化」などを求められているとの答えが増加した。中野氏は「個人の防衛策を強化する傾向にある」と指摘し
Firefox拡張:FireGPGを使ったGmailの暗号化と署名 | OSDN Magazine
GmailはWebベースの優れた電子メールアプリケーションかもしれないが、GnuPGのような個人情報保護ツールとの連携は決して容易ではない。この問題を解決するために作られたのが、Firefoxの拡張機能FireGPGである。FireGPGはGmailのインタフェースにうまく統合されており、電子メールのメッセージだけでなくWebページから選択したテキストに対しても署名や暗号化を行うことができる。 他のどんなFirefox拡張機能とも同じで、FireGPGのインストールはクリック数回で完了する。ただし、FireGPGはGnuPGに依存しているため、適切に動作させるにはいくつかの点に配慮が必要だ。まず、システムにGnuPGがインストールされていなければならない。また、鍵の管理に利用できるGnuPG向けのグラフィカルフロントエンド ― 例えば、Ubuntu(やKubuntu)のKGpgなど ― の
システムの裏口を作って鍵をかけておくためのSBD(Secure Back Door) | OSDN Magazine
適切に設定されたSSHサービスはサーバへのリモート接続を安全にしてくれるが、SSHサーバがマシン上で常に動いているということ自体がそもそも好ましくないという場合もあるかもしれない。SBD(Secure Back Door)を使うと、サーバへの暗号化した接続をオープンして、例えばSSHサービスの起動やウェブサーバの起動やマシンの再起動などといったオペレーティングシステムに対する任意のコマンドをリモートから実行することができるようになる。 SBDでは好きなポート番号を使用することができるが、ポート番号を指定しない場合のデフォルトは31415番ポートとなっている。通信には、SBDプロトコルを使用する。SBDプロトコルでは、データの改竄がないことと出所の信頼性を証明するために、ワンタイムパッド共通鍵とHMAC(keyed-hash message authentication code)を使用して
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
Sandboxie (Read Only)
Dear Sandboxie Community, As announced on our website sandboxie.com, we are now closing down this forum following the release of the Sandboxie source code to the open source community. [IMPORTANT] Sandboxie Open Source Code is available for download We’re glad that the community has embraced the open source project on GitHub and that a new Sandboxie thread has been started on Wilders Security Foru
子どものオンラインセキュリティ--年齢別の対策のヒント
オフラインの世界で子どもたちの面倒を見ているときと同様、オンラインの子どもたちの振る舞いや携帯電話の利用を扱う際には、その年齢に応じて適切な管理が必要だ。法律家であり、子ども問題を扱う団体にも所属するParry Aftab氏は次のリストに分類される5つの年齢グループのいずれか、あるいは全てにあてはまる子どもを持つ親に対して方針を提供している。 7歳以下 8歳未満の子どものほとんどは、インスタントメッセージング(IM)や電子メールなどの対話的な技術は親の監督なしでは使っていないが、オンラインにいることは多い。以下は、この年齢グループのための一般的なガイドラインの一部だ。 先生や図書館員と一緒に子どもが使っても安全なウェブサイトを調べ、Wiredsafety.orgにあるような子どものためにデザインされた専用のディレクトリを使う。 Yahoo Kids(Yahoo! JAPANの子供向けサイト
インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
第2回 なぜ、我が社には無線LANがない?
連載「再考・ワイヤレスネットワーク」では、本記事を含む以下の記事を掲載しています。 【第1回】わたしがモバイルをしたくない理由 【第2回】なぜ、我が社には無線LANがない?(本記事) 【第3回】「FONはビジネスに使えない?」の本当とウソ 【第4回】Skype専用携帯電話の「使える度」 【第5回】無線LANの高速化におカネはかからない? 【第6回】夢を先取り!? 移動体インターネットの使える度をチェック 筆者は仕事柄、さまざまな企業を訪問(取材)することが多い。興味深いのは、企業によって無線LANに対するとらえ方がまったく異なる点だ。大手企業でも、依然として「セキュリティ上の理由」として無線LANの利用を禁止しているところがある半面、あまりセキュリティを意識せず、社員の要望をそのまま受け入れる形で運用しているケースもある。 後者はどちらかといえば中堅企業に多いパターンだが、逆に「管理する自
Winnyネットワークに広がるRLO利用の拡張子偽装手法 | スラド
4月13日の日経ITpro記事によると、Winnyネットワークにおいて、Unicodeの制御文字 U+202E(Right-to-Left Override;RLO)を用いて拡張子を偽装したファイルが広まっているそうだ。本来はアラビア文字など右から左に記述する文字のために書字方向を変更するための制御文字だが、ファイル名の途中に挿入することで、画面に表示されるファイル名の右端に来る文字列を".txt"など無害な拡張子に見せ掛け、これにアイコン偽装などを組み合わせてexeファイルであることを偽装するようだ。この手法では、もはや単純なファイル名の目視だけでは、exeファイルかどうかの判別ができない。 ファイル名にUnicodeを許容するファイルシステムであれば、実行可能ファイルとならないまでも、同様の問題が発生するものと思われる。(例:奥村先生によるMac OS X上での実験) さらに記事中で紹
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Loading...
憎いあいつのファンを減らす - ぼくはまちちゃん!
ClamAV
セキュリティ脆弱性研究に役立つWebサイト:ITpro
ネットワークマガジン - Network Magagine - 徹底比較 SSLサーバ証明書の「値段」と「品質」