今夜つける HTTPレスポンスヘッダー (セキュリティ編) - うさぎ文学日記
Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなどもありますので、クライアントの環境によっては機能しないこともあります。 X-Frame-Options ブラウザが frame または iframe で指定したフレーム内にページを表示することを制御するためのヘッダーフィールドです。主にクリックジャッキングという攻撃を防ぐために用いられます。 X-Frame-Options: SAMEORIGIN DENY フレーム内にページを表示することを禁止(同じサイト内であっても禁止です) SAMEORIGIN 自分自身と生成元が同じフレームの場合にページを表示することを許可(他のサイトに禁止したい場合は主にこ
Webに関わる人のための『HTTPの教科書』を発売 - うさぎ文学日記
ひさびさの単著となる『HTTPの教科書』が2013年5月24日に発売になります。 内容はタイトルの通り、Webに関わる全ての人に捧げるHTTPを学ぶための教科書です。基礎を学びたい初心者の方から、机の上に置いてリファレンス的に使いたい方までを対象としています。 HTTPの教科書発売元: 翔泳社価格: ¥ 2,730発売日: 2013/05/25posted with Socialtunes at 2013/05/21 HTTP関連の書籍は『今夜わかるHTTP (Network)』というタイトルの本を2004年に出しています。その頃からHTTP/1.1が主流であるというのは、今でも変わりませんがそれを取り巻く環境というのは変わりつつあります。 HTTPを学ぶ上での要点がわかりやすく、そして読みやすくなっております。前作のリニューアルっぽく感じるかと思いますが、9割以上は書き直しや追記しており
お名前.comのレンタルサーバーが平文でパスワードを保存している - うさぎ文学日記
お名前.comで取ってるドメインがあったので、とりあえずレンタルサーバーも使ってみようと申し込んでみました。 月額1575円の共用サーバー SD|ドメイン取得なら お名前.com 設定を始めたところ、設定用のWebインタフェースのコントロールパネルに、メールアカウントや管理者アカウント、FTPアカウントなどのパスワードが表示されるという状況でした。 ※パスワードの箇所は暗号化されていないパスワード文字列 さらに、パスワード変更の際には旧パスワードの入力もいらないという仕様。 そして、コントロールパネルの横のお知らせには「セキュリティ対策は万全ですか?」とか出ててシュール。 サポートセンターに「パスワードを平文で保存しているのか?」ということや「なぜWebにパスワードをわざわざ表示するのか?」について問い合わせてみたところ、下記の回答がきました。 弊社サーバーNavi、および、コントロールパ
Yoshiokaと名乗るハッカーが逮捕、通信事業者のハック自慢が証拠に - うさぎ文学日記
「xS」「Yoshioka」「Yui」と名乗る17歳の少年がオランダ最大の通信事業者KPNへのハッキングで逮捕されています。警察は暗号化されたコンピュータ、2台のラップトップ、ストレージやDVD、USBメモリなどを押収しているとのこと。 KPNでは数百台のサーバーにインストールされたマルウェアを取り除く作業に追われ、200万ユーザーのメールアカウント使用者にはパスワードの変更をお願いしているとのこと。私も、漏えいしたと思われる一部のアカウント情報がPASTEBINに公開されているのを確認しています。 彼は他にも日本や韓国、ノルウェイでも告訴されています。日本のTokohu大学(原文ママ、もしかして東北大学?)や韓国科学技術院(KAIST)、ノルウェイのトロンハイム大学などのハッキングが疑われています。 彼の逮捕に繋がったのは、前週に逮捕された16歳のハッキング容疑者との繋がりがあった他、K
パスワード認証を回避してWindowsにログインする方法 - うさぎ文学日記
目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。 今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に権限のないPCなどで試さないようにして下さいね。 方法は以下の通り簡単です。 Ubuntuなどでブートして、Windowsドライブをマウント C:\Windows\System32以下の「Utilman.exe」を「Utilman.old」にリネーム C:\Windows\System32以下の「cmd.exe」を「Utilman.exe」にコピー 再起動して、Windowsの起動画面で「Windowsキー + U」でコマンドプロンプトが起動 あとは、「explorer.exe」などを実行することもできます。 実験 Ubuntu(ここではBac
LulzSecの中の人、逮捕される - うさぎ文学日記
ソニーグループの一連のハッキングなどを行っていたLulzSecの中の人が逮捕されたそうです。 LulzSec Hacker Arrested, Group Leaks Sony Database | Technology | Epoch Times メンバーの一人Robert Cavanaugh氏とあるので、他にも何人かいてまだ逮捕されていないのかな?Twitterではつぶやき続けてるし、昨夜はScedev.net(Sony Computer Entertainment Developer Network)のWebサイトのソースコードが流出してましたし。 Lulz Security® (LulzSec) releases 追記(6月8日) 誰も捕まってないよって、LulzSecの中の人は言ってますね。どっちが本当なんだろ? No LulzSec Hackers Have Been Arre
9割がパスワード使い回し、漏えいしたソニーのパスワードから分析 - うさぎ文学日記
連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。 Troy Hunt: A brief Sony password analysis 以下の観点について分析がなされています。 長さ 文字空間(文字の種類) 乱数 一意性 この中で興味深かったのは、パスワード再利用(Password reuse)についてでした。 ソニーグループの異なるデータベースで、同じメールアドレスの場合、同一アカウントと見なして、その2000アカウントでパスワードが異なるかどうかを調べた物です。 その結果、92%がパスワードを使い回しているという結果が出ています。私の想像よりも多いですね。 ソニーとGawkerで比較した場合でも67%が使い回しだと判
TwitterのOAuth仕様変更、DMアクセスには再度ユーザーの”許可”が必要 - うさぎ文学日記
5月19日Twitterの公式BlogでTwitterのサードパーティなどのアプリケーションが使う、OAuthで設定しているアクセス権限に仕様変更があると、アナウンスがありました。 Twitter Blog: Mission: Permission これまでの”Readのみ”、”Read/Write”以外に、”Read, Write & Direct Messages”という種類が追加されることに。これを選択するとダイレクトメッセージの「読み込み」、「削除」ができなくなるようです。(送信はできるみたいですね) ユーザーにとっては、サードパーティのアプリケーションにダイレクトメッセージを読ませない、という選択肢を取ることができて嬉しいですね。 詳しい仕様は以下にあります。 The Application Permission Model | dev.twitter.com この仕様変更の適用
SkypeにMac OS Xにリモートアクセスできる0day脆弱性 - うさぎ文学日記
Skype for Macにパッチが提供されていない0day脆弱性があると公表されました。Gordon Maddern氏のブログによるとMetasploitとmeterpreterを使って、リモートからMac OS X上でシェルコードを動かすExploitも動作したそうです。(Exploitコードは公開されていない様子) Skype 0day vulnerabilitiy discovered by Pure Hacking 次の修正プログラムで対応するようなので、Mac版Skypeをお使いの方は修正プログラムがリリースされるまでは使用を控える方がよいでしょう。 Mac OS X版 Skype最新バージョン - Skype いつリリースするかは不明です。
2010年版のOWASP Top 10 公開、Webアプリ脆弱性トップ10 - うさぎ文学日記
PCI DSSなどでもよく参照されているOWASPが発表している、Webアプリケーションの脅威のランキング2010年版の『OWASP Top 10 for 2010 』が公開されました。 Category:OWASP Top Ten Project - OWASP OWASP Top 10 for 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failur
デブサミ2010 で『自分でできるWebアプリケーション脆弱性診断』というテーマで講演 - うさぎ文学日記
2月18日、19日に東京・目黒雅叙園で開催される翔泳社主催の Developers Summit 2010 で講演させて頂きます。 私の出番は、2010年2月19日(金)13:10〜14:00の[Web]のコマで『自分でできるWebアプリケーション脆弱性診断』というテーマで話す予定です。 Webアプリケーションのセキュリティ上の問題を見つける「脆弱性診断」というサービスがあります。しかし、診断はツールによる自動化が難しいため、決して安価なサービスではありません。必要性は感じていても受けていないことも多いのではないでしょうか。それならば自分でやってしまいましょう! 本セッションでは、フリーウェアなどを使って納得のいく脆弱性診断を自分でできる方法をご紹介します。どのように診断を実施すればいいか、脆弱性判定の基準は何かといったことをお話しします。 http://www.seshop.com/ev
MD5を解析するWebのサービス - うさぎ文学日記
MD5が脆弱と言われていて、もう使っちゃダメと烙印を押されていても、さすがにハッシュ値から逆算して解析するアルゴリズムが存在するわけもなく、解析にはレインボーテーブルを使っています。レインボーテーブルというのは、平文とそのハッシュ値をDBのテーブルに格納しておいて、ハッシュ値で検索するというテクニックです。(この場合はレインボーテーブルじゃなくて、ただの平文とハッシュ値のテーブルかも。 参照レインボーテーブル - Wikipedia) たとえば、「password」という平文をMD5でハッシュ化すると「5f4dcc3b5aa765d61d8327deb882cf99」となります。こういった対応を表にたくさん入れておくことで、MD5のハッシュ値で検索すると元の平文が見つかるというわけです。 MD5のレインボーテーブルがWeb上から使えるサイトは結構あるようで、いくつかをピックアップ。どのサイ
上野宣の Macbook Air - うさぎ文学日記
高木浩光@自宅の日記 - Windows Mobileの「オーナー情報」設定に注意 色んな意味で怖い。 今はこうした。 誰か見つけて!
WASForum2008 - うさぎ文学日記
2日とも行ってきました。キーワードは「サイバー戦争」…。 んーー、「サイバー空き巣」ぐらいだと思うけどさ。 意外と盛り上がった、その場で携帯で投稿するタグクラウド祭り。 園田さんいるのに気が付きませんでしたよ・・・。写真見たら写ってるし。 個人的な見所としては、初日のパネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」での温度差のあるトークバトル。w 時の人となったサウンドハウスの中島社長を中心に、控えめで大人なパネルディスカッションでした。 (そういう反応になるのは同意するし、同情もします)と感じたけど、ここ数年ぐらいの話ならエンジニアが技術を学ぶべきに一票。発火政府とかの予算があるなら、設計時にしっかり作り込みましょう(ウチみたいな、コンサル入れるとかもありますし。w)。そうすれば何千個アプリがあっても変わらんと思います。私もコメント控
『今夜わかるセキュアプログラミング』資料公開 - まっちゃ139 - うさぎ文学日記
「まっちゃ139 Hiki - 第12回まっちゃ139勉強会」のプログラムの中にある「資料」の箇所からPDFファイルをダウンロードすることができます。 いろいろな年齢層、職業の方がいらっしゃるところでセキュアプログラミングのことをどのように話そうと考えた結果、こういった形でのアプローチになりました。(公開用に編集したものです。おもしろそうだなぁと思っていただければ、またどこかで編集前の状態でお話ししてきます。w) http://matcha139.hiemalis.org/doc/macha139_konya_wakaru_secure_programing.pdf (直) 参加者の方々の感想など 情報セキュリティはプログラマ一人が考えるものでない事を再認識。 まっちゃ139初参加 - ローグ・ログ セキュアプログラミングといっても 個々や会社毎に努力するしかないのかなと 飯のタネになる部
偽セキュリティソフト「SystemDoctor 2006」をインストールしてみました - うさぎ文学日記
某誌に原稿書いたときに余ったキャプチャーを紹介です。 SystemDoctor 2006はスパイウェアや偽セキュリティソフトとして有名です。本紹介はスパイウェアの紹介ですので、間違えてインストールしないようにしましょう。 こういう画面をみたことがある方は要注意! SystemDoctor 2006でググるといろいろでてきて、本家をクリックしようとするとこんな警告文がでてきます。 ちなみにこちらは英語版サイト 日本語版サイトもあります。 アクセスするとローカルコンピュータのスキャンができます。(しないでね。) 安心させようという魂胆(だと思う)オレオレデジタル署名ダイアログ。笑 いきなりスキャンし始めますよ。 あり得ないぐらいエラーを出してくる。CPUも100%で検索してる(っぽい) ちなみにこの環境はVMWare上のWindows XP SP2でパッチ全適用しただけで、ソフトなどはほぼ入っ
摘発した違法サイトに警察庁が警告文を載せる(誘導する) - うさぎ文学日記
その違法サイトにアクセスすると、302 Foundで警察庁の警告サイトへ誘導されるように仕掛けがしてあって、警察が用意した警告サイトには「このサイトの管理者は、わいせつ図画陳列罪で逮捕されました。このようなサイトを利用することは、犯罪の助長につながりますので、利用しないようにして下さい。 」といった文章が書かれている。 犯罪抑止の効果を狙って実施しているとのこと。今後もどんどん実施して行くみたいです。 摘発違法サイトに警告文 警察庁(共同通信) - goo ニュース ちょっと前にニュースで取り上げられていたらしいが見逃していた。警察庁の方に教えていただきました。 ※追記 07/07/11 刑が確定/判決が出たものだけが対象のようです。また、その違法サイトのURLの管理者(ISPなど)に対して、警告サイトへの誘導ページを載せてもらうことを警察が依頼するんだそうです。
うさぎ文学日記 - 御社のWebサイトにXSS (クロスサイトスクリプティング)の脆弱性があると何が問題なのか
技術に明るくない人でも、SQLインジェクションは、データベースをこねこねされるということで、すぐに「これはイケナイ!」と反応する人が多いように思います。しかし、XSSはどうも軽く見られている気がしています。XSS (クロスサイトスクリプティング)って名前がよくないのか? XSSで検索すると原理や対策方法についての言及ばかりがヒットするので、被害に遭うユーザーや運営者側向けに簡単に書きます。どこかにもっと良い説明や補足があれば教えて頂ければ幸いです。XSS脆弱性を放置していた人が、対策を施すよう腰を上げていただければと思います。 ■ XSSって何ですか? XSS (Cross Site Scripting)は、Webアプリケーションのバグによって起こる事象*1でセキュリティ上の問題があります。HTMLで表示する文字列の中に、悪意のあるJavaScriptやHTMLタグなどを混入させることがで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
