パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
セキュリティアナリストのつぶやき
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
SQLインジェクションとは何か?その正体とクラッキング対策。
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
中古ドメインでGoogleAppsを使ったら - y-kawazの日記
最近あるドメインを取得したんだが、実はこのドメインは僕が最初に取得したものではなく、前のドメイン所有者が管理放棄したか期限切れになったモノを僕が取得したもののようだ。普通は中古のドメインだからといっても困ることはそうは無いもんだが、今回は珍しいケースに当たったのでネタにしてみる。 中古ドメインだったんだなーと気付いたのはGoogleAppsにドメインを登録しようと、ドメイン名を入力したときだ。 ↓こんなメッセージが出て登録できなかった。 このドメインは既に Google Apps に登録されています。 このドメインで Google Apps を使用する手順については、ドメイン管理者にお問い合わせください。 なんと既に登録されてるとな?すぐに前のドメイン所有者がAppsを使ってたんだなと思い至ったんだがさてどうしたらいいんだろう? GoogleAppsの管理アカウントを取り戻す手順 既に存在
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
霞ヶ関からのネット利用 - 雑種路線でいこう
なかのひとという面白いサービスがあって、ガジェットを張っておくとどんな組織からアクセスがあるかタグクラウド風に表示してくれる。それによると財務省・総務省・国土交通省・文部科学省・厚生労働省・環境省・農林水産省・特許庁・気象庁・内閣法制局・会計監査院・最高裁判所・衆議院・参議院あたりからは当ブログへのアクセスを確認できるのだが、確かに経済産業省・外務省・防衛省・警察庁からのアクセスはみない。ちなみに大手ITベンダでHP・IBM・NEC・富士通・日本ユニシス等からはかなりのアクセスがあって日立からだけ全くないのだが、同社の社員によると実際フィルタされているという。 北畑隆生氏の「株主はバカ」発言は大反響を呼び、ブログ検索でみると倖田来未の「羊水」発言を上回っている。しかし経産省では、blog.goo.ne.jpは有害サイト(?)としてフィルタリングされているそうなので、官僚諸氏が休日に読めるよ
コメント: PHPは駄目な言語なのか? - スラッシュドット・ジャパン
趣味でやっている人のことは、まあ、いいとして(踏み台にされる可能性はあるけど)、仕事でPHPを使うときの注意を書いておこう。 コーディング規約を守る。組織にコーディング規約がないなら、Zend Framework PHP標準コーディング規約 [zend.com]を使う。オレ流コーディングスタイルは禁止。 内部コードにはEUC-JPかUTF-8を使う。入出力もできるだけShift JISを避ける。Shift JISを使う場合には2byte目に0x5Cを含む文字の動作を忘れずに確認する。 開発環境の警告レベルをE_STRICTにする。本番環境ではdisplay_errorsをオフにする。 register_globals、magic_quotesはオフにする。 type hintingを積極的に使う。 スコープの長い配列をクラスでラップする。 プレゼンテーションとロジックを分割すること。プレゼ
Webメール,盗み見されていませんか:ITpro
最近,顧客などからWebメールの利用に関する相談が多くなっている。企業内の個々の社員が勝手に利用している場合はもちろん,企業として利用する場合に,メール本文を外部に置くことで情報漏えいにつながるのではないかという危機感からだ。企業の機密が漏れることはもちろん,個人のプライバシーにかかわる問題でもある。 Webメールは,既に多くのユーザーがプライベートのメールとして利用している。“実名”でビジネス用メールにGoogleやYahoo!などの外部サービスを利用しているユーザーも増えている。ただ,自分の電子メールが他人に読まれていたという事例は過去にいくつもあり,決して珍しい話ではない。事業者のサーバーにメールを置くWebメールとなると,不安はさらに膨らむ。 さすがにWebメール・サービスも,一昔前と比べるとそれなりにセキュリティ対策はとられている。それでも,必ずしも十分とは言えないのが実情である
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
第3回 通用しなくなった「80番ポートの安全神話」
セキュリティ対策の基本の一つに,ファイアウォールに余計な“穴”を開けないというものがある。それでも,WebアクセスのプロトコルであるHTTPが使う80番や8080番,SSLで使用する443番などは,ふさぐことのできないポートだろう。しかし最近は,この80番などを使ったWeb経由の攻撃が後を絶たない。開けているのが80番などの基本的なポートだけでも,安心とは言えないのだ。 ボットを制御するIRCがWebのフリをする 最近,多くのパソコンに感染が広がり,セキュリティ上の大きな脅威となっているものにボットがある。ボットとは,「ロボット(Robot)」から派生した言葉で,感染パソコンをロボットのようにリモート・コントロールする不正プログラム(ウイルス)の総称である。また,ボットが構成するネットワークの総称を,ボットネットと呼ぶ。ボットネットは,ハーダーと呼ばれる悪意を持った第三者の指示により,DD
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
Perlを使って脆弱性を検証する:CodeZine
はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl
たった2行でできるWebサーバ防御の「心理戦」 − @IT
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
Webサーバへの攻撃を見抜く ― @IT
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世
IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
「(Internet ExplorerとFirefoxの)どちらにも非がある」 「Internet Explorer」のゼロデイエクスプロイトについて当初はMicrosoftを非難していたセキュリティ研究者たちが今、このように述べている。この問題はウェブブラウザ「Firefox」のユーザーにも影響するからである。 IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。 IEの問題を発見したセキュリティ研究者のThor Larholm氏とセキュリティ企業大手のSyman
Webサイトの安全性を診断する分析ツール [フリーソフト・シェアウェア] All About
Webサイトの安全性を診断する分析ツールうっかりアクセスすると悪意のあるプログラムが作動したり、広告画面が無制限に開いてPCがクラッシュしたりする悪辣なWebサイト。そうした弊害から身を守るためのサイトの安全性診断ソフトの紹介です。 悪意あるWebサイトへのリンクをうっかりクリックして痛い目を見たことがある人は少なくないのでは。 今回は、そうしたWebサイトの安全性をチェックしてくれるフリーソフト「McAfee SiteAdvisor」の紹介です。 =CONTENTS= ■「McAfee SiteAdvisor」とは ■「McAfee SiteAdvisor」機能紹介 「McAfee SiteAdvisor」とは「McAfee SiteAdvisor」はマカフィーが提供する、Webサイトの安全性をチェックする無料のツールです。 ⇒ダウンロードはこちらから
![Webサイトの安全性を診断する分析ツール [フリーソフト・シェアウェア] All About](https://cdn-ak-scissors.b.st-hatena.com/image/square/8f530daf3cb408d6b6a0ba6f38ed7ccece36cffc/height=288;version=1;width=512/https%3A%2F%2Fimg.aacdn.jp%2Faa%2Fcommon%2Fogp300_300.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログが続かないわけ | ログイン処理が簡単と言い切れるか 〜 フィッシング対策も忘れずに
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/09/re_server_sig.php