スマートフォンアプリでは暗号化通信を標準にすべき | 水無月ばけらのえび日記
公開: 2012年2月18日22時25分頃 「スマートフォンアプリケーションでSSLを使わないのは脆弱性か (blog.tokumaru.org)」。 勝手にまとめると、まず前半がこういう話ですね。 アプリケーションの利用者にも通信内容を見せない、という目的で暗号化するのは問題がある。「隠すこと」による脆弱性対策は危険。独自の暗号化を使用すると、「プライバシー情報の不正送信が行われているのではないか」と疑われることにもつながる。通信の暗号化なら標準的なSSL/TLSを使えば良い。そして、後半は少し違う話になっています。 スマートフォンでは素性の良く分からないWi-Fiで通信する機会も多いため、傍受・改竄対策としての暗号化は重要。しかしブラウザと違い、スマートフォンのアプリでは、通信が暗号化されているかどうか利用者には分からない。暗号化通信の有無が利用者にはっきり分かるような状況にすることが
HashTableのアルゴリズムを突いたDoS攻撃 | 水無月ばけらのえび日記
更新: 2012年1月20日1時0分頃 これは興味深いですね……「Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (blog.tokumaru.org)」。 PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には、高速な検索が要求されるためハッシュテーブルが用いられます。ハッシュテーブルは、文字列を整数値(ハッシュ値)に変換するハッシュ関数を用いて、平均的には一定時間に検索・挿入・削除が行えるデータ構造です。しかし、ハッシュ値が一致する(衝突する)キー文字列については、通常ハッシュテーブルは順次的な探索となり、検索・挿入などが遅くなります。 以上、Webアプリケーションに対する広範なDoS攻撃手法
ミログ「第三者委員会」、驚きの提言 | 水無月ばけらのえび日記
公開: 2012年1月3日17時20分頃 AppLogやApp.tvが話題になったミログですが、「第三者委員会報告書」というものが出たようで。 第三者調査委員会の調査結果に関するお知らせ (milog.co.jp)報告書はPDFで、以下にあります。 株式会社ミログ 第三者委員会報告書 (milog.co.jp)委員会の名称が「第三者調査委員会」なのか「第三者委員会」なのか良く分かりませんが、いずれにしても中立的な第三者による調査ということですね。 しかし内容を見ると、かなり違和感のあることが書かれています。 ミログがapp.tv 及びAppLog を用いて行おうとしていたターゲティング広告それ自体については、ユーザーに対しても有用な広告が配信されるといったメリットが与えられるものであり、ユーザーに対し、収集される情報に関して十分な説明が行われ、その上でユーザーの同意が取得される場合には、こ
エンジニアの躾 | 水無月ばけらのえび日記
公開: 2011年8月7日19時30分頃 Facebookを見ていたら、どうも世間には「エンジニアの躾(しつけ)」というものがあるらしいぞ、という話が出ていました。紹介されていたのがこのサイトです……「SI事業|レッドフォックス株式会社 (www.redfox.co.jp)」。 エンジニアの躾 レッドフォックスは他に類を見ない教育体制の下で、世にエンジニアを輩出しています。そのエンジニアの教育の1つに、コーディング規約の遵守というものがあります。コーディングとは、プログラミング言語を使って、ソフトウェアの設計図にあたるソースコードを作成することです。 躾という言葉のインパクトはすごいですが、要はコーディング規約を守るという話ですよね……と、平和な気持ちで読んでいたのですが、下の方で良い例として紹介されている「ソースB」の内容を見て、のけぞってしまいました。あくまでコーディング規約のサンプル
なぜ経営者は使えない情報システムを採用するのか | 水無月ばけらのえび日記
公開: 2011年8月7日23時20分頃 こんな記事を発見しました……「法人営業の「攻め方」 ――「買える人」「買いたい部署」を見極めなくては、「受注」はない。 (www.nikkeibp.co.jp)」 非常に興味深いと思ったのは、クラウドシステムの営業の話です。これを読んで、とある光景が思い浮かびました。 現場の声を聞かずにシステム導入を決定する経営陣唐突に導入されるシステムに振り回され、しなくても良いはずの努力を重ねる現場本来とは異なる形で無理矢理運用されるシステム (機能のほとんどは不要とされ、ごく一部だけが使われていたりする)こういう光景、見たことがある方は多いのではないでしょうか。 情報システムの良し悪しを判断するのは、現場の人間であっても難しいものです。まして、現場を知らない経営陣が導入を決めれば、何が起きるかは目に見えています。経営陣だってそれは分かるでしょうに、なぜ現場の
データセンターの冷却は人間のためなのかサーバーのためなのか | 水無月ばけらのえび日記
公開: 2011年7月22日21時30分頃 日経新聞にこんな記事が……「データセンターも「ガラパゴス」か 節電の夏が問う日の丸IT (www.nikkei.com)」。 データセンターはサーバーが持つコンピューター能力をインターネット経由で使う。技術的にはサーバーを遠隔管理することも可能だが、それでも「センターに出向いて直接作業」が日本では好まれる。首都圏に7割のデータセンターが集中する背景だ。 いやいやいや、誰が好き好んであんなところに出向くというのでしょうか。「技術的にはサーバーを遠隔管理することも可能」というのも凄い話で、いやもちろん正しいのですが、「技術的には」も何も、リモートでできることはリモートでやるのが普通です。日本の技術者はSSHも使えないと思われているのでしょうか……。 ただ、障害が発生してリモートからアクセスできなくなってしまう場合もあり、そのような場合には現地に行かな
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
Web&モバイルマーケティングEXPO 3日目 / WebARENA CLOUD9 のお話 | 水無月ばけらのえび日記
公開: 2011年5月15日2時10分頃 NTTPCコミュニケーションズのWebARENA CLOUD9 (web.arena.ne.jp)というサービスで5月8日から障害が続いていて、復旧予定が未定になっているという話が出ています。セキュリティホールmemoを見ていたら、こんなお話が。 NTTPC コミュニケーションズは、5/13 まで開催されている第2回クラウド コンピューティングEXPO春に出展しているから、そこで状況を聞いてみるのも一興かと。 以上、セキュリティホールmemo より 都合の良いことに、私は今日もEXPOに行くお仕事があり、NTTPCコミュニケーションズのブースで話を聞いておきたい別件もありました。というわけで、仕事の隙を見て行ってみることに。 ブースには共用レンタルサーバやVPSのパンフレットはあったものの、問題の「CLOUD9」については何も展示されていませんでし
クラウドを自社ドメインで運用する苦労 | 水無月ばけらのえび日記
公開: 2010年3月28日20時50分頃 「音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する (takagi-hiromitsu.jp)」というお話が。これはひどいと思いますが、問題は2つありますね。 フォームが別ドメインになっており、その事についての説明がない「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている後者に関しては問題としてはシンプルで、単に虚偽の説明がなされているという話ですね。規約とかどうせ誰も読んでない……とは良く言われますが、掲載している本人でさえもロクに読ずにコピペしているのが実情でしょう。確認もしないで嘘を書くくらいなら、最初から書かなければ良いのにと思いますが。 それはそれとして、フォームが別ドメインになっている話は興味深いです。最近は「クラウド」とかなんとか言って外部のサーバでサ
7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出? | 水無月ばけらのえび日記
公開: 2024年3月2日17時30分頃 「7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? (slashdot.jp)」だそうで。また丸見え系か……と思って読んでいたら、どうも単なる丸見えではなくて、ディレクトリトラバーサルで抜かれてしまったようですね。 URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。 bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。 以上、冗長なUTF8によるディレクトリトラバーサル より 問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの? それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。 以上、なんか誰も書い
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
XSS脆弱性の危険性 | 水無月ばけらのえび日記
公開: 2024年3月7日16時10分頃 「世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? (www.atmarkit.co.jp)」。 脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。 緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。 緊急: 今すぐサイトを閉鎖して対応しなければならないもの重要: 早急に対応しなければならないもの要対応: 急ぎではないが、対応が必要と考
第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 | 水無月ばけらのえび日記
公開: 2009年2月2日19時10分頃 ロックオン福田さんとJPCERT/CCの安藤さん、佐藤さんのお話。JVN#81111541 (jvn.jp)のハンドリングについて。 ※「おーい、ポスターはっといてー」という感じで、CHECK PC! のポスター (www.checkpc.go.jp)が貼り出されたり。 EC-CUBEについて株式会社ロックオン / 大阪本社・東京支社 従業員約40名EC-CUBEはオープンソースのECソフト2007/11から配布、現在では約3,000店舗が利用。毎月200店舗くらいのペースで増加。参考情報として、楽天のショップ数は24,000くらい。3,000という数字はけっこう多いと言って良い 問題の概要8/27 : EC-CUBE で SQLインジェクションの脆弱性発見、管理者権限奪取可能10/1 : JVN#81111541の一般公開・IPA注意喚起EC-C
ITproのセキュリティ検定がヤバイ | 水無月ばけらのえび日記
更新: 2008年11月7日1時55分頃 こんなのがあったのですね。「ITpro EXPO検定---全11分野で,あなたのIT理解度はいかに? (itpro.nikkeibp.co.jp)」。 セキュリティ検定の解説もあったので見てみましたが、超難問が3問ほどあったので、独自に解説してみます。 Webブラウザを狙うクロスサイト・スクリプティングは,どのような問題点によって起こるでしょうか。 A) クライアントOSの弱点(ぜい弱性) B) Webブラウザを使うユーザーの油断 C) Webブラウザの弱点(ぜい弱性) D) Webサーバーの弱点(ぜい弱性) 以上、セキュリティ検定の解説【問題2】 より 「WebサーバやWebブラウザにもクロスサイトスクリプティング脆弱性がある」という知識を問う問題ですね。XSSというと普通はWebアプリケーションの問題ですが、WebブラウザやWebサーバに問題が
ニンテンドーDSiでも従来ソフトではWEPになる? | 水無月ばけらのえび日記
ニンテンドーWi-Fiネットワークアダプタ (wifi.nintendo.co.jp)のサイトで社長が訊く「ニンテンドーWi-Fiネットワークアダプタ」 (wifi.nintendo.co.jp)が公開されていますね。 岩田 Wiiやパソコンをつなぐときは、セキュリティレベルの高い方式を使いながら、一方ではDSともちゃんと通信ができるという仕組みなんですよね。 あと、先日発表されたばかりのニンテンドーDSiを使うときは、従来のDS用ソフトは、従来のセキュリティレベルですが、ニンテンドーDSiブラウザーやニンテンドーDSiショップなどDSi専用に作られた新たなソフト群では、セキュリティレベルの高い方式を使えるようになりました。 ということは、DSiでも従来のソフトではWEPでの通信になるということですね。 「WEPを捨てるためにDSiを買う」ということを一瞬検討しましたが、そもそもそういうこ
高木さんの日記がいつも503になっている件 | 水無月ばけらのえび日記
お知らせ: Firefoxに先読み機能の拡張機能を導入している方はご遠慮ください。一瞬にして十数件ものアクセスが集中して503エラー状態(Service Temporarily Unavailable)となり、他の方が読めない原因の1つとなっています。 Fasterfox (addons.mozilla.org)のようなものをご遠慮くださいということで。 Fasterfoxに関しては、「Fasterfoxが酷すぎる件 (la.ma.la)」なんて話もあるようですね。「Fasterfox の先読みをブロックする方法 (www.lucky-bag.com)」によると、robots.txt でブロックできるようですが……。 「高木さんの日記がいつも503になっている件」へのコメント (2件)関連する話題: Firefox
楽天メールマガジン情報漏洩の話・続き | 水無月ばけらのえび日記
更新: 2008年10月1日 楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。 楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。 (~中略~) 私は、毎日ここで一発で「配信停止」をしています。 http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi... 以上、楽天市場について -OKWave より イタタタタ……。 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す
個別記事表示(記事4942)@新生鳩丸掲示板♯ [No.4942] Re: 「ベリサインのセキュアドシールは役に立つのか」
>今のところ実物を見たことがありません。 当の業者がサンプルページを公開していることに気付きました。 https://日本クロストラスト.jp/ 英字ドメインのほうはなぜかEVではなかったので発見が遅れました。 https://crosstrust.co.jp/ これは「水無月ばけらのえび日記 : ベリサインのセキュアドシールは役に立つのか」に関連するコメントです。 全読: [4935]Re: 「ベリサインのセキュアドシールは役に立つのか」からのスレッド(11件)] [4935] Re: 「ベリサインのセキュアドシールは役に立つのか」 : MatsuTake (2008年7月23日 22時29分)[4936] Re: 「ベリサインのセキュアドシールは役に立つのか」 : えむけい (2008年7月23日 23時13分)[4939] Re: 「ベリサインのセキュアドシールは役に立つのか」 :
WASForum Conference 2008: EV SSL の意義と課題 | 水無月ばけらのえび日記
2日目のセッションは技術的なお話が中心になりました。まずは「EV SSL の意義と課題」についてのメモ。 SSLの課題利用範囲の拡大とともに発行基準が多様化、匿名でも取得可能になった。一般のエンドユーザが確認することは困難 (一般ユーザがCP/CPSを読むというのは現実的でない)鍵マークへの信頼を逆手にとって、フィッシングサイトに悪用されるようにもなってきた EV SSLSSL証明書の発行審査基準の標準化 + 一般ユーザに分かる仕組みCA/Browser Forum (CABF) による EV ガイドラインの制定 (2006/10) Vista登場の2ヶ月前日本企業では発行できないガイドライン (組織名は登記簿謄本に記載のものと完全に一致しなければならないとされているが、日本の場合はたいてい漢字で書かれている……)JCAF: 日本語版ガイドラインの作成、日本の法体系沿う運用の提案 (App
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
