WASForum Conference 2008: 携帯電話向けWebのセキュリティ | 水無月ばけらのえび日記
自転車とGREEについて自転車はGIANTがオススメGREEは2006年11月に携帯にシフト、携帯からのアクセスがぐんぐん増加 携帯の諸々Referer来ないかもしれない。auとSoftbankはおおむね来る。来ないなら来ないで統一されていれば良いものを……Cookieは、au来ます、Softbankは来ないかも。 Referer漏洩問題についてそもそも他サイトにリンクしないこと。ドコモ公式では必須端末不具合によって、何故かメールから叩いたURLに前のサイトのRefererが出ることが……セッション格納情報でチェックする? UA……Referer漏洩時点でばれている。端末固有情報?SIDを変えまくるという対策だと、戻ると死んだりするユーザがGREEにGREEのURLを貼ることは多い (URLにはセッション追跡情報がついている)。GREEではURLをパースしてがんばっている携帯ではHTMLソ
WASForum Conference 2008: EV SSL の意義と課題 | 水無月ばけらのえび日記
2日目のセッションは技術的なお話が中心になりました。まずは「EV SSL の意義と課題」についてのメモ。 SSLの課題利用範囲の拡大とともに発行基準が多様化、匿名でも取得可能になった。一般のエンドユーザが確認することは困難 (一般ユーザがCP/CPSを読むというのは現実的でない)鍵マークへの信頼を逆手にとって、フィッシングサイトに悪用されるようにもなってきた EV SSLSSL証明書の発行審査基準の標準化 + 一般ユーザに分かる仕組みCA/Browser Forum (CABF) による EV ガイドラインの制定 (2006/10) Vista登場の2ヶ月前日本企業では発行できないガイドライン (組織名は登記簿謄本に記載のものと完全に一致しなければならないとされているが、日本の場合はたいてい漢字で書かれている……)JCAF: 日本語版ガイドラインの作成、日本の法体系沿う運用の提案 (App
WASForum Conference 2008: SQLインジェクション対策再考 | 水無月ばけらのえび日記
2日目、「EV SSL の意義と課題」に引き続いての2発目は、徳丸さんによる「SQLインジェクション対策再考」。資料が公開されている (www.hash-c.co.jp)ので、私のメモとか必要ないですね。 若干補足すると、資料のp5~p6あたりの「セミコロン削除」「SQL構文に用いるような文字列はユーザーの入力としてはありえない」という部分ですが、ブログの記事を DB に格納するときにどうするのか、という話が出ていました。プログラムの話題を書いたときにセミコロンが全部消えてしまったら困りますから、セミコロンだろうとSQL構文だろうと、きちんと格納しなければならないのです。 質問として、「過剰エスケープはどうなのか」という話が出ましたが……。「セキュリティ的にはたぶん問題ないが、\が2重に表示される」。まあ、ぶっちゃけて言えばバグですね。実際、この手のバグはけっこうあちこちにあると思います。
WASForum Conference 2008: パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」 | 水無月ばけらのえび日記
1日目の最後のセッションはパネルディスカッション。あまり網羅的にメモできていないので、やりとりの一部のみの抜粋という感じになっています。 ※実はPCのバッテリがピンチでメモ回数をセーブしたため、ほとんどメモしていませんでした……。orz ちなみにパネリストは、サイオステクノロジーの山崎靖之氏、サウンドハウスの中島尚彦社長、ライフネット生命保険の中川達彦氏、奈良先端科学技術大学院大学の門林雄基氏、そしておなじみ、産総研の高木浩光氏。以下のメモでは発言者名の敬称は略させていただいています。 Webを活用したビジネスでの心構えとは?中島お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう 高木今まで2回くらい出てはいるのですが……。 2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思
「WASForum Conference 2008: サウンドハウス「Web攻撃の脅威に立ち向かうには」」@水無月ばけらのえび日記
1日目、カカクコムのお話の次に来たのがサウンドハウス (www.soundhouse.co.jp)のお話。 今年の4月にクレジットカード情報の流出が発覚し、大胆なプレスリリースが話題になったサウンドハウスですが、中島社長自らがお話しされるということで、かなり期待していました。実際にお話を聞いてみると、これがもうメチャクチャ面白かったです。ただ、あの話し方、身振り、スライド、どれ一つが欠けてもこの面白さは出ないと思いますので、生で見ていない人に面白さを伝えるのは難しいと思います。 ※ちなみにスライドの一部は使い回しのようです。「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されているものはおおむね使い回されていました。 ともあれ、話された内容をメモしておきます。ほぼ手元のメモのままなので、長いですが……。 導入部
WASForum Conference 2008: カカクコム「不正アクセス事件から学んだ事」 | 水無月ばけらのえび日記
WASForum Conference 2008 (wasforum.jp)に行ってきました。印象に残った話を中心に、とりとめなくメモしておきます。 まずは1日目、「不正アクセス事件から学んだ事」について。2005年に不正アクセスでサイト閉鎖となったカカクコム (kakaku.com)の、安田さんのお話です。 事件の経緯まず事件の経緯の話などが出ますが、まあそれはさんざん出ているので割愛します。細かい部分で興味深い話が2点ほど。 改竄を把握したのは水曜。改竄部分を戻したら問題なかったようなので運営を継続したが、その後も断続的に改竄と修正を繰り返した。土曜の夕方に一旦サーバを停止。その後再開するも、土曜の夜になって改竄の頻度が非常に高くなり、改修での対応は無理だと判断して閉鎖に至った。「どのくらいで復旧できるのか?」と社長に詰め寄られ、「一週間くらい」と返答 (実際には10日間の閉鎖)。 サ
Firefox3のダウンロードが「インターネットオプション」の設定に依存する話 | 水無月ばけらのえび日記
続々・ Firefox 3 な日 (d.hatena.ne.jp)続々・ Firefox 3 な日 (IE の設定が Firefox 3 の挙動に影響する話) (www.st.ryukoku.ac.jp)Firefox3では、ファイルのダウンロード時に「インターネットオプション」の「アプリケーションと安全でないファイルの起動」の設定を参照して挙動を変えるというお話。えむけいさんのコメントも参照。 この挙動自体は問題ない(というか望ましい)ように思いますが、既存のFirefoxユーザからすると分かりにくいのかも。 ※Windowsの「インターネットオプション」ってIEの設定だと思われがちですが、実はいろいろなアプリケーションに影響するのですよね。コントロールパネルから直接呼べるようになっていますし、そもそもそういう姿が想定されているのだろうと思いますが。 「Firefox3のダウンロードが「
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
とある改竄報告ページにあった脆弱性の話 | 水無月ばけらのえび日記
更新: 2008年7月30日 少し前、トレンドマイクロのサイトが改竄された (www.itmedia.co.jp)という話がありましたが、トレンドマイクロのサイトには「弊社ウイルス情報ページの改ざんについて」というお知らせが掲載されていました。 それを見ていたら、ふとページの右上に検索フォームが存在するのに気づいたのですが、その検索フォームにXSSがあってズッコケたので届け出ていたのでした。 そして今日、IPAの方からこんなメールが。 トレンドマイクロの件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。 有名サイトですし、改竄報告ページが脆弱というのは面白いので日記に書こうかなと思い、念のため確認してみたわけです。 するとこれが、入力された文字列からタグ部分だけ消去するという、典型的なダメ回避策なわけですよ。そし
入力時に文字参照に変換するのがよろしくない理由 | 水無月ばけらのえび日記
「Twitterのクロスサイト・スクリプティング(XSS)対策は変だ (www.tokumaru.org)」。文字参照に変換した状態で DB に格納しているというのは、けっこう良くある話だろうと思います。この手のエスケープしすぎによる化けは、twitter に限らず、よく見かけますので……。 ※HTML のエスケープに限らず、入力欄に \ を入れて検索すると \\ に化けて、検索ボタンを押すたびに \ が増殖していくという面白いシステムも良くありますね。 一昔前のフリーの掲示板 CGI などでは、フォームの値を読み取るところで < → < " → " のように文字参照に変換してしまうのが一般的でした。この手のアプリケーションは、 絶対に HTML にしかデータを出力しないフォームからの入力以外のデータを処理しない作者が一人で開発しているので、出力時の処理も把握しているという
手口は公開すべきか | 水無月ばけらのえび日記
わたしはいかに簡単に偽造できるか、実際にこうした手口を講演やテレビで公開した。模倣犯が現れるかもしれないという心配はあるだろう。だが、それを教えないことのデメリットの方が大きい。なぜなら、犯罪者は誰もがそんなことはよく知っているからだ。 以上、知らされない犯罪の実態 より 警察は「この資料を配布すると他の泥棒にも手口を教えることになる」と配布することを懸念したが、一般の人が手口を知ることに意味があるのだ。犯罪者は教えなくても知っている。 以上、空き巣のカギ開け手口を全面公開 より
Web 業界に HTTPS の知識は普及するか | 水無月ばけらのえび日記
「銀行2.0はまだ来ない (takagi-hiromitsu.jp)」。 銀行に限らず「SSL2.0 と SSL3.0 を両方有効にしろ」という指示は結構あるのですが、そもそも、これらを両方とも有効にさせようとしている時点で何かがおかしいわけで……。おそらく、その指示を書いた人は「SSLを使っているらしい」という漠然とした理解しかない状態で、ひとまず「SSL」と名のつく設定を全部有効にさせようとしたのでしょう。 ※もちろん、SSL という名前がつかない「TLS 1.0」を有効にするような指示は思いつきません。:-) この手の記述の場合、リンクポリシーのケースと違って法務から文章が出てきたりはしないので、Web屋の責任である可能性が高いです。残念ながら、Web 業界には SSL/TLS について一通り理解している人って少ないと思うのですよね。少し前、某大手 Web屋 (弊社ではない) が作っ
POST にすることは CSRF の対策と言えるのか | 水無月ばけらのえび日記
「Webアプリケーションを作る前に知るべき10の脆弱性 (www.atmarkit.co.jp)」。いろいろ微妙な感じがするのですが、特に気になったのがこれ。 5.クロスサイトリクエストフォージェリ CSRF(Cross Site Request Forgery)は、本来拒否すべき外部のWebページからのHTTPリクエストを受け付けてしまうというバグによって起こります。 (~中略~) ランダムなトークンをフォームやURLに埋め込んでその整合性を確認したり、重要なデータ更新を扱う際には再度認証を行ったり、GETは使用しないといった対策が有効です。 前からずっと思っているのですが、「GETは使用しない」「POSTのみ許可する」というのは CSRF の「対策」になるのでしょうか? CSRF の性質上、POST で攻撃できないという道理がありませんし、実際、私が届け出たものも、「ぼくはまちちゃん」
グッドラッパーって何? | 水無月ばけらのえび日記
セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。 ……。 ……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。 結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。 理解できなかったところをいくつかメモしておきます。 そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー(グッドラッパー)は既にいくつも存在している。以下にいくつか例を示す。 ・SQLインジェクションに対してバインドメカニズムを使用
発見は推奨されていない | 水無月ばけらのえび日記
報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。 でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい」といった旨の返事がくる。 へぇ、そんなことがあるものなのですね。 まあ、情報セキュリティ早期警戒パートナーシップは、基本的には「うっかり見つけちゃった」ものを報告するところであって、発見することを推奨してはいないと思います。もし積極的に探しに行くことが推奨されて、インセンティブが与えられたりすると、届出件数は爆発的に増えるでしょう。その気になれば、「ググっても仕方ない~」とか歌いながら毎日2桁ペースで発見できそうな気がしますので。
MT で nofollow プラグインを無効にすると危険 | 水無月ばけらのえび日記
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。 MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。 MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。 ※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。 ところが、その処理は何故か本体ではなく
H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 | 水無月ばけらのえび日記
【講演1】 脆弱性の届出情報の深刻度評価についてCVSS のお話。「IPA が受付けた脆弱性をCVSSを用いて分析した結果を紹介します」ということで、具体的にこんな事例がこうなった、という話を期待していたのですが……。残念ながら統計データだけで、具体的な事例は出ませんでした。 もっとも、それは私の期待が大きすぎただけで、話としては普通に面白かったと思います。 【講演2】 安全なWebアプリケーションの作り方(番外編)極楽せきゅあ日記 (d.hatena.ne.jp)などで有名な園田さんの講演。中心はフレームワークのお話で、あとは書籍の脆弱性のお話など。 書籍の話ですが、個人が批判する分には問題ないと思うものの、何をもって誤りとするのかが難しいですね。「のけぞる本!」なんてコンテンツがありますが、これは HTML の仕様に照らして間違いだと言っているので、間違いだと断じるだけの論拠があります
情報処理試験でNUL文字攻撃の問題など | 水無月ばけらのえび日記
更新: 2006年4月20日 スラッシュドットに「情報処理試験(2006年春)はどうでしたか (slashdot.jp)」というトピックができていますね。今回、「テクニカルエンジニア(情報セキュリティ)」という試験区分が新たに追加されたとのこと。 「情報処理技術者試験センター:問題冊子・配点割合・解答例 (www.jitec.jp)」として問題が公開されているので見てみましたが、ディレクトリトラバーサルやSQLインジェクションの攻撃手法を答えさせるものがあったりして、なかなか興味深いです。 個人的に印象深かったのは、拡張子指定を迂回する話ですね。Perl スクリプトで、外部から与えられた $fname という名前に対して '.cep' という文字列を連結してから open に渡しています。$fname は何もサニタイズされていませんが、プログラム内で '.cep' という固定の文字列が連結
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なテンプレートシステムはあるのか | 水無月ばけらのえび日記
HTML情報サイトでXSS | 水無月ばけらのえび日記