サウンドハウスカード情報流出 | 水無月ばけらのえび日記
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (www.soundhouse.co.jp)」。 PDF に書かれている詳細説明が非常に興味深いですね。なんと、2006年に謎の asp1.asp というファイルが設置されていて、ちくちく利用されていたらしいという。知らないファイルが置かれていても、2年間誰も気づかなかった訳ですね。 ※まあしかし、あんまり詳しくは書けませんが、某大企業グループサイトの cgi-bin の下なんか、テスト用の脆弱な CGI プログラムが放置されていても誰も気づかなかったりしていますしね……。 あと、興味深いと思ったのはこのくだり。 ところが、セキュリティの不備は中々解消されず、セキュリティの基準となるガイドラインさえ、殆ど見かけません。対策が進歩しない理由は明らかです。まず、エンジニアが不足していることです。本来ならば、プロのハッカーを雇用して、彼
Wiiインターネットチャンネル・アドレス偽装のセキュリティ修正? | 水無月ばけらのえび日記
アップデートされたWii (www.amazon.co.jp)のインターネットチャンネルを使っていて、ひとつ気になったことがあります。 インターネットチャンネルでは画面下部にツールバーが表示されるのですが、設定でツールバーを隠す事ができるようになっています。ツールバーを隠している場合、以前はそこには何も表示されていなかったのですが、新しいバージョンでは、ツールバーの「ページ情報」ボタンの位置に影のようなものが表示されるようになりました。画面下部にポインタを持っていくとツールバーが表示され、ちょうど影の部分に「ページ情報」ボタンが重なり、押せるようになります。ポインタをツールバーの外に出すと、ツールバーは消えますが、「ページ情報」ボタンの場所に影が残ります。その影は押しても何も起きません (押せない旨の警告音が出ます)。 困るのは、その影の後ろに Web ページのリンクなどがあっても、そのリ
ほんとうは怖い国際化ドメイン名 | 水無月ばけらのえび日記
「JVN#16018033 Safari における URL の表示偽装の脆弱性 (jvn.jp)」。IPA 側の「JVN#16018033「Safari」における URL の表示偽装の脆弱性 (www.ipa.go.jp)」を見ると、IDN(国際化ドメイン名) の話のようですね。で、届出者の吉野さんに話を聞いてみたりしたのですが、なかなか興味深い話が。 IDN がまずいのは、似たような文字の紛らわしいドメインが使われてしまうということです。しかし、あからさまに紛らわしいドメインを取得しようとするとレジストラに怪しまれますから、それは難しいのではないか……。そんな風に考えていた時期が私にもありましたが、よく考えると、IDN はサブドメインにも使えるのですね。サブドメインに紛らわしい文字を使ってもどうということはない、と思うかもしれませんが、「/」をごまかされると非常に厳しいです。 ※試しに未
グッドラッパーって何? | 水無月ばけらのえび日記
セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。 ……。 ……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。 結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。 理解できなかったところをいくつかメモしておきます。 そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー(グッドラッパー)は既にいくつも存在している。以下にいくつか例を示す。 ・SQLインジェクションに対してバインドメカニズムを使用
H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 | 水無月ばけらのえび日記
【講演1】 脆弱性の届出情報の深刻度評価についてCVSS のお話。「IPA が受付けた脆弱性をCVSSを用いて分析した結果を紹介します」ということで、具体的にこんな事例がこうなった、という話を期待していたのですが……。残念ながら統計データだけで、具体的な事例は出ませんでした。 もっとも、それは私の期待が大きすぎただけで、話としては普通に面白かったと思います。 【講演2】 安全なWebアプリケーションの作り方(番外編)極楽せきゅあ日記 (d.hatena.ne.jp)などで有名な園田さんの講演。中心はフレームワークのお話で、あとは書籍の脆弱性のお話など。 書籍の話ですが、個人が批判する分には問題ないと思うものの、何をもって誤りとするのかが難しいですね。「のけぞる本!」なんてコンテンツがありますが、これは HTML の仕様に照らして間違いだと言っているので、間違いだと断じるだけの論拠があります
事実上名指し | 水無月ばけらのえび日記
乗口氏がセキュアスカイ・テクノロジーを設立した2006年3月以降,ユーザー企業のWebアプリケーションを検査してきたが,実際に顧客のシステムを検査してみると,必ず脆弱性が見つかるという。「多くの企業にとっては脆弱性があるのか無いのかということが問題なのではなく,脆弱性が発覚しないことが目的になっている」 余計なお世話かもしれませんが、この発言、大丈夫なのでしょうか。 セキュアスカイ・テクノロジーの主要取引先 (www.securesky-tech.com)のページを見ると、そこに掲載されている社名は 3つだけしかありません。この状態で、「100%」という数字を出しつつ先に引用したような発言がなされると、それは 3社を名指しして言っているも同然になってしまいます。 そして私はポケモン (www.amazon.co.jp)を好んでプレイしており、ポケモンだいすきクラブ (www.pokemon
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
