Amazon.co.jp:セキュリティはなぜやぶられたのか
セキュリティはシステム構成から――忘れられた原則 | OSDN Magazine
セキュリティというと、平均的なコンピュータ・ユーザーは事後的施策、つまりウィルス対策プログラムやセキュリティ・パッチなど、特定の脅威に対する対策について考えるのが普通だ。こうした施策はワークステーションやネットワークのセキュリティを保つ上で一定の役割を果たしてはいるが、大概は、更に重要な施策が見落とされている。より効率的なのは最初から安全なシステムを構成することなのだ。そのために必要な作業の多くは簡単なことだが、ソフトウェア市場やIT管理の現場では、利用者の利便性が求められることと相まって、構成レベルのセキュリティ確保がないがしろにされがちである。 構成中心セキュリティは、セキュリティ・アーキテクチャ、あるいは、予防的セキュリティとも呼ばれている。名称はともあれ、コンピュータ・システムの設計と実装レベルからセキュリティを確保する方法である。カナダのコンサルティング会社Starfish Sy
Linuxセキュリティの多様な側面 | OSDN Magazine
ここ数日間見てきたように、 Linuxコミュニティではセキュリティに関して多くのことが進行中だ。 今回のセキュリティ連載記事では、 SELinux (翻訳記事)、 AppArmor (翻訳記事)、 Bastille (翻訳記事)、 ディストリビューションをセキュアにするための各ベンダのセキュリティに関する取り組み を取り上げ、また 米国土安全保障省の「脆弱性の発見および修正のためのオープンソースのセキュリティ強化プロジェクト」の 進捗状況の考察 (翻訳記事) も行なった。 それでもまだまだLinuxコミュニティのセキュリティに関する動き全体から見れば、 これらは氷山の一角に過ぎないのだ。 多くのことが進行中とは言え、Linuxのセキュリティに関してなすべき課題も、 もちろんまだまだたくさん残されている。 AppArmorについてのMayank Sharmaによる記事中でも指摘されているよう
■ - 葉っぱ日記
何日にもまたがっていて一覧性が悪い、トラックバック送りにくい、ということのようですので、目次を作ってみました。 Unicodeとセキュリティ 文字列処理とセキュリティ バッファオーバーフロー 危険な文字列のチェック漏れ UTF-16での注意点 ドキュメント上の "Unicode" という単語の意味に注意 1文字が必ずしも16ビット固定ではない 文字数とバイト数の違いに注意 UTF-8 での注意点 非最小形式の不正なエンコーディングに注意 ISO/IEC 10646 の文字範囲では、最大6バイト 見えない文字 U+FEFF - ZERO WIDTH NO-BREAK SPACE U+FEFF のもうひとつの役割 BYTE ORDER MARK バックスラッシュと円記号 バックスラッシュと円記号は個別の文字として定義 他の文字コードへの変換 他の文字コードとの変換は1対1ではない 大文字と小文
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
タネンバウム教授らが研究する「RFIDパーソナルファイアウォール」 - YAMDAS現更新履歴
MINIX の作者として知られるアンドリュー・タネンバウム教授が最近 RFID を研究対象としており、RFID をターゲットとするウィルスやワームについての論文を書いている話は以前読んだ覚えがあるが、とりあげ損ねていた。 Boing Boing や Slashdot で知ったのだが、タネンバウム教授とその生徒(こういう場合、主は生徒のほうだろうが)らが、RFID Guardian という RFID のファイアウォールについての論文を発表し、USENIX Lisa 2006 において最優秀論文賞を受賞したとのこと。 これからは「RFID にもファイアウォール」が当たり前の時代になるのだろうか。
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
「サニタイズ言うなキャンペーン」に癒されてみる: 国民宿舎はらぺこ 大浴場
「サニタイズ言うなキャンペーン」私の解釈 (K.Maebashi's home page さま) 言いだしっぺの高木先生お墨付き。一応、原典についてもリンクを示しておこうかしら。 「サニタイズ言うなキャンペーン」とは何か (高木浩光@自宅の日記 さま) 続・「サニタイズ言うなキャンペーン」とは (同上) てゆか、「やっぱりそれでいいんだよなぁ」と内心「ホッとした」というのが正直な感想。 思うんだが、「セキュリティー対策」と「セキュリティーホール対策」は、分けて考えるべきだと思う。 「セキュリティー対策」ってのは、その名の通り、セキュリティーを積極的に向上する為の対策であって、主な内容としてはウイルス対策ツールの導入だとか、プライベートファイヤーウォールの導入だとか (Unix 風 OS の常識から言えば、ポートフィルタリングは施していて当たり前とも思うが)、パッチを自動更新するだとか、バッ
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
脆弱性の分類と脆弱性の原因 | 水無月ばけらのえび日記
「Dreamweaver プロフェッショナル・スタイル (cssnite.jp)」という本が出ることになっておりまして、末尾の方には Dreamweaver とあんまり関係ない脆弱性関連の話が出てくるわけですが、脆弱性関係の文章を書いていていつも思うことがあります。 それは、脆弱性の分類がメチャクチャだということです。良く耳にする脆弱性の名前というものがあると思いますが (「クロスサイトスクリプティング」など)、それは「原因となった欠陥」だったり「攻撃手法」だったり「結果として起きたこと」だったりしていて、全くもって MECE な分類になっていないのです。 ※MECE = Mutually Exclusive collectively Exhaustive で、「もれなく、重複無く」という程度の意味。 たとえば ACCS事件を見てみると、こんな感じになります。 原因 : CGI はパラメー
高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない
■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく
高木浩光@自宅の日記 - ログイン前Session Fixationをどうするか
■ ログイン前Session Fixationをどうするか 21日の日記「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」で、ブラウザベンダはCookie Monster問題をどうするのだろうかということについて書いたが、Firefox 2.0 について調べてみたところ、解決していなかった。また、IE 7 も解決していない。 そのような状況では、セッション追跡がcookieだけによって行われている場合であっても、Session Fixation攻撃に対して配慮せざるを得ない。 これまで、Session Fixation対策といえば、ログイン後の状態をセッションハイジャックされることの防止のみが語られることが多かったが、ログイン前についてはどうだろうか。 たとえば、ログイン前から使えるショッピングカートに対してSession Fixation攻撃が行われると
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
情報処理推進機構:情報セキュリティ
サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。 パスワード もっと強く君を守りたい原宿にて「パスワード」の大切さを啓発するマンガポスターを掲示しています。このポスターを学校や会社でも掲示したいとの声を受けて販売もしています。 ISMAP政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサ
高木浩光@自宅の日記 - ワンタイムパスワードは何のためにあるのか
■ ワンタイムパスワードは何のためにあるのか 先月、ジャパンネット銀行から「SecurID」が送られてきた。RSAセキュリティのワンタイムパスワード生成器(以下「トークン」)だ。ジャパンネット銀行は全口座の利用者に対してこれを配布している。 届いた郵便物には図1の案内状が入っていた。 ここに書かれていることは事実でないので、信じてはいけない。 2. トークンはスパイウェアに監視されないので安全です。 トークンはパソコン、携帯電話などと一切の通信を行いません。万が一パソコンや携帯電話がスパイウェア(不正プログラム)に感染しても、トークンに表示されたワンタイムパスワードが監視されることがなく安心です。 これを読んだユーザは、「今後はダウンロードした .exe ファイルを安心して実行できる」と思ってしまうかもしれないが、トロイの木馬(不正プログラム)を実行してしまっては、たとえこのワンタイムパス
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
Firewallと森で遊ぼう
ダイヤルアップ・ブロードバンドで接続している全世界3億7000万人のインターネットUserに贈る 個人用(Personal) Firewallのすすめ & インターネット セキュリティ インターネットという危険地帯を歩くときの必需品であり、平和な家庭を守るための道具であり、精神安定剤としてのFirewall(ファイアウォール)とAntiVirus(アンチウィルス)などのセキュリティツールの紹介とセキュリティ情報を提供します。これからは常時接続!でも今の環境のままではあなたとPCは生きていけない 最近追加した内容 ・2006/09/05 Avira AntiVir PersonalEdition ClassicをSecuToolに追加。 ・2006/07/23 Comodo AntiVirusをSecuToolに追加。 ・2005/11/26 IE Privacy Ke
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YouTube上にも登場、詐欺的セキュリティソフトへ誘導するバナー広告
http://neta.ywcafe.net/000665.html