LiveCDでWindowsログイン画面のPASSを解析する方法
「カミサンにポルノ全部ロックかけられた!」 奥さんにPASS握られて困ったLifehackerのアダム君が使ったのが、Ophcrack使ってWindowsログイン画面のパスワードを解析する方法。 使い方はカンタンで、ここでLive CDをダウンロードして焼いて、そのCD入れてクラックしたいアカウント選ぶだけ。辞めちゃった同僚や別れた奥さん、恋人のマシンを使いたい…なんて時、知っとくと便利だし、自分のパス忘れちゃった時とかにも。くれぐれも悪用はしないように。 PS: アダムの話は作り話です。本当は自分専用のマシンに置いてるみたい。 (編訳/satomi) 英文解説&スクショツアー [Lifehacker] まとめ(日本語)
外国からのコメントスパム対策:Geekなぺーじ
外国からのコメントスパム対策を思いついたので、このブログのコメント欄にコメントスパム対策を実装してみました。 このサイトに来るコメントスパムは、ほとんどが外国からのものです。 日に日に量が増えてきています。 最初はIPアドレスや禁止ワードなどで弾こうとしましたが、同じスパマーと思われる書き込みでもIPアドレスはバラバラだったり、内容が多岐に渡っていたりしていて9割弾けてもいくつかは書き込まれてしまいます。 大抵はスクリプトと思われる書き込みが続き、こちらが対策をしてある程度すると、人間と思われる書き込みが行われます。 人間による書き込みは、禁止ワードなどの調査をしているようです。 相手もプロのようで、一般的なフィルタリング手法は良く知っていて、巧みにこちらの設定を調べていきます。 例えば、特定の禁止ワードを含むものと含まないものを入れてみたり、同じ内容を複数のIPアドレスから入れてみたりし
AjaxでSSL風の通信を行うためのJavaScriptライブラリ「aSSL」:phpspot開発日誌
aSSL - Ajax Secure Service Layer aSSL is a library distributed under MIT License thats implements a technology similar to SSL without HTTPS. AjaxでSSL風の通信を行うためのJavaScriptライブラリ「aSSL」。 https プロトコルを使うわけではなく、Ajaxに用いるパラメータにSSL風128ビット暗号をかけて通信を行うライブラリのようです。 JavaScriptのライブラリと、バックエンド用のPHP or ASPコードが配布されています。 デモ aSSL 1.1 ASP Example using jQuery aSSL 1.1 ASP Example using Prototype 通常のAjaxにおいて、HTTPSのURLを使用する
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
Passion For The Future: 圧縮ファイルのパスワードを解読するPikazip
圧縮ファイルのパスワードを解読するPikazip スポンサード リンク ・Pika Zip http://www.vector.co.jp/soft/win95/util/se078535.html パスワード付の圧縮ファイルは、メール添付でファイルをやりとりする際に、よく使われていると思う。こうしたファイルをメールと別に管理して年月が経過してしまうと、パスワードがわからないものがでてくる。 このPikazipはZip,Rarアーカイブの忘れてしまったパスワードを検索するフリーソフト。文字列の組み合わせを総当たり戦で試すことで、忘れてしまったパスワードを解読してくれる。 便利な反面、怖いソフトである。簡単なパスワードはつけてはいけないということがよくわかる。たとえば私の名前「daiya」をパスワードにしたファイルを試験的に作成して、このソフトにかけたところ、1秒で解読に成功した。本当に秘密
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
オンラインでパスワード管理「PASSLET」:phpspot開発日誌
PASSLET Passlet is an online password manager. Unlike other password managers, it does not require you to disclose your master password to anyone, including its own server. オンラインでパスワード管理「PASSLET」。 1個のマスターパスワードさえあればオンラインで複数のパスワードを管理できます。 ブラウザ内で暗号化を完結するので、サーバ側に生のパスワードは送信されないとのこと。 とはいえ、オンラインでパスワードを管理するのは危険なことなので、当然ですが、重要なパスワードは保存しないようにしたほうがよいでしょう。 あくまで、お試しで使っているサービスや、テスト用のアカウントのみに利用範囲を制限したほうがよさそうですが、
知らぬ間にファイルに摺り込まれる情報、気にしてますか? | スラド セキュリティ
例えばMS-Excelなら、OSのセットアップ時やソフトウェア自体のインストール時に登録された「企業名」「担当者名」などの情報が標準状態では全てのファイルに書き込まれる(当人が意識できていない状況では、むしろファイル自体に摺り込まれていると云えるかも)訳ですが、それが元で談合の嫌疑がかけられたという事例が報告(日経BP KEN-Platz)されております。実態としては過去の類似案件にて施工業者から提供された(おそらくは納品物である)特定のファイルをそのまま転用してしまったと言う事のようですが、なるほど、確かにそのようなプロパティの存在を知らずに外部提供のファイルをそのまま転用しているという人は結構存在していそうです。 /.Jな皆さんはその辺は気にしているとは思いますが、それでもうっかり忘れで痛い目にあったり、逆に取引相手からもらったファイルが競合他社からの提出物(そのもの、或いは、転用物)
5分で絶対に分かるSSL-VPN − @IT
SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3
パスワード管理で、簡単でなおかつ安全な方法を教えてください。…
パスワード管理で、簡単でなおかつ安全な方法を教えてください。 基本的には以下3つのいずれかの情報を探しております。 ・現在は「ミガルパスワード」という携帯電話上で使えるパスワード管理ソフトを使ってますが、サービスが終わるらしいので代わりを探してます。(AUで使えるサービスでお願いします。) ・指紋認証つきUSBメモリーに、パスワード管理ソフトを入れて使う事を考えています。 おすすめのパスワード管理ソフトなどあればお教えください。(Mac/Winどちらでも可です) ・以下のような「パスワード管理用の端末」があればいいなあと思っているので もしご存知でしたら教えてください。 - 電卓ぐらいの大きさ。 - ログイン名、パスワード、備考が記載できる。 - 上記の情報自体を暗号化して保存できる(紛失対策) - パスワードか生体認証で保護できる(他人にみられないように) - 1万円以下の手頃な価格
アンチウイルスソフトウェアランキング、最強はどれ?
ウイルスなどからパソコンを守ってくれるアンチウイルスソフトウェア。気になるのは実際のところどれぐらい防御してくれるのか?ということ。 というわけで、14万7184種類のウイルスを用意し、各社のアンチウイルスソフトウェアの設定をデフォルトではなく、機能の許す限り「最高」の防御レベルにまで引き上げた上で実験した結果です。果たしてどのアンチウイルスソフトウェアが1位なのでしょうか…? なお、有名どころだと、マカフィーは13位、ノートンは22位、ウイルスバスターは海外ではPC-Cillinという名前で27位です。 Antivirus programs and protection guide, virus info, antivirus tests, Free Antivirus Tools! ベスト10は以下の通り。 1位. Kaspersky version 6.0.0.303 - 99.62
PHPスクリプトの脆弱性検査ツール Spike Security Audit Tool:phpspot開発日誌
SpikeForge: Spike PHP Security Audit Tool: Project Info - Spike Developer Zone This is a new open source tool to do static analysis of php code for security exploitsPHPスクリプトの脆弱性検査ツール Spike Security Audit Tool。 解凍すると、run.php スクリプトがあるので、次のようにファイル名かディレクトリパスを指定して使うようです。 php run.php <ファイル名> php run.php <ディレクトリパス> 内部的に何をやっているかというと、XMLで定義された脆弱性データベースを参照し、使用している関数のチェックを行ってそれをレポートしてくれるというもののようです。 使っている関数が危
セキュリティの勉強に役に立つ、セキュリティ関連RFC日本語訳ページ:Geekなぺーじ
IPA(独立行政法人 情報処理推進機構)のサイト内にセキュリティ関連RFCを日本語訳したページがあります。 ちょっと内容が古いものもありますが、これを読んでいくとかなり勉強になります。 インターネットセキュリティに関する RFC の日本語訳 RFCはIETF(Internet Engineering Task Force)という組織が発行するインターネット標準仕様を規定した公開文書です。 (すごく厳密に言うと標準仕様案を公開している文書かも知れません。) ただし、全てのRFCが標準仕様を説明した文書ではありません。 議論の過程にある提案、現時点における最善の実践(BCP)、FYI(For Your Information)、4月1日ギャグなども入っています。 全て英語で書かれています。 IPAのRFC日本語訳ページには日本語化されたRFCがいっぱいあります。 何を読んで良いかわからない方に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第8回WebSig会議 ディレクター・製作者が知っておくべきセキュリティ | 作者プロフィール
Webアプリケーション脆弱性チェックツール:Chorizo:phpspot開発日誌