第4回: Unicode 文字列の比較 - 葉っぱ日記
すっかり間があいてしまいました。ごめんなさい。今回のテーマは Unicode 文字列の比較です。 文字列の比較には、プログラミング言語によっては s1 = s2 のように簡単な演算子で比較できる場合もありますし、strcmp や StrComp のような関数を呼び出す必要があるかも知れません。そんななかでも今回取り上げるのは、Windows API の CompareString です。実際には、Unicode 同士の比較ですので、CompareStringW ですね。 さて、CompareString 関数には第2引数 dwCmpFlags で比較の条件をいろいろ変更することができます。一般的によく使われそうなのは、大文字小文字を無視して文字列を比較するためのフラグ NORM_IGNORECASE でしょうか。 実際に、この NORM_IGNORECASE フラグを指定して a-zA-Z
RealVNCに深刻な脆弱性、パスワード認証なしでリモートアクセスの恐れ
オープンソースのPC遠隔操作ソフトウェア「RealVNC」に、パスワードを知らなくともリモートホストにアクセスできてしまうという深刻な脆弱性が発見された。 オープンソースのPC遠隔操作ソフトウェア「RealVNC」に、深刻な脆弱性が発見された。悪用されれば、パスワード認証を経ることなく端末にリモートアクセスできてしまうという。配布元の英RealVNCでは、問題を修正した最新バージョンへの早急なアップグレードを推奨している。 RealVNCは、手元のPCからリモートのコンピュータにアクセスし、遠隔操作を行えるようにするソフトウェア。オープンソースとして提供されているFree Editonのほか、Personal EditionとEnterprise Editionがある。脆弱性はいずれのエディションにも存在する。 Secuniaなどの情報によると、RealVNCのパスワード認証リクエストの処
ロングテール時代の情報ナビゲーション
The Japanese edition of 'CNET' is published under license from A Red Ventures Company., Fort Mill, SC, USA. Editorial items appearing in 'CNET Japan' that were originally published in the US Edition of 'CNET', 'ZDNET' and 'CNET News.com' are the copyright properties of A Red Ventures Company. or its suppliers. Copyright (c) A Red Ventures Company. All Rights Reserved. 'CNET', 'ZDNET' and 'CNET New
Fedora Core 3 SELinux FAQ
Discretionary access control (DAC) — これは通常のLinuxのセキュリティで、通常ユーザーや、rootで起動した壊れたプログラムや、悪意のあるプログラムからのシステムへのプロテクションは 提供されません。ユーザは自分が所有しているファイルに対してリスクのあるアクセスレベルを設定できるにすぎません。 Mandatory access control (MAC) — ソフトウェアの活動を完全に管理します。管理設定されたポリシーがシステムに対するユーザーとプロセスの活動を詳細に管理し、いかなるユーザが使用している壊れたソフトウェアや、悪意のあるソフトウェアからシステムへのプロテクションを提供します。 DACモデルでは、ファイルや、リソースはユーザや、オブジェクトの所有権のみで、決定されます。ユーザーとそのユーザーによって起動されたプログラムはユーザーのオブジェ
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
Flash Playerに危険なセキュリティ・ホール,多くのユーザーが影響を受ける
米Adobe Systemsは現地時間3月14日,同社の「Flash Player」や「Shockwave Player」などに危険なセキュリティ・ホールが見つかったことを明らかにした。細工が施されたファイルを読み込むだけで,悪質なプログラム(ウイルスなど)を実行される可能性がある。また,そのようなファイルが置かれたWebページにアクセスしただけで被害を受ける可能性がある。 Flash PlayerはWindows XPなどのAdobe製品以外にも含まれているので,多くのユーザーが影響を受ける。対策は,Flash Playerなどのアップグレード。マイクロソフトでも,この件に関するセキュリティアドバイザリを公開している。 Webページにアクセスするだけで被害に 今回のセキュリティ・ホールは,Flashファイル(.swf)に関するもの。細工が施されたswfファイルを読み込もうとすると,ファイ
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
ブログサービスの設計思想とユーザ側の制約
はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け
エラーメッセージの危険性
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 完璧なアプリケーションをいきなり作り上げられる人はまずいないだろう。多くの人はアプリケーション中にデバッグ用のメッセージやコメントを残しながら開発を進めていくことになる。またユーザーにとって重要なのがエラーメッセージである。エラーメッセージを頼りにアプリケーションを利用していく。しかし、ユーザーにとって有用な情報なのだが、同様に攻撃者にも有用な情報を与えてしまうことにもなることがある
今思い返すと、あれはつまり詐欺師か何かだったのだろうか: 不倒城
今日はなんだか良くワカラナイ人と対話をしてきた。 先に断っておくと、ちょっと長文になる。ご了承頂きたい。 休日とはいえ会社は営業日である。私は単なるシステム屋であるので、別に休日大した仕事がある訳でもないのだが、一応顔を出してきた。システムチームでは私はけっこーまめな部類の人間である。 で、出社してみるとなにやら応接室に人が来ているのだが、どーも騒がしい。副社長に話しかけられた。 「ああしんざきさん、丁度いいとこに。なんかセキュリティがどーたらって人が来てるんだけど、良く話がわかんないんだよね。てきとーに話聞いてみてくれない?」 副社長がこーゆー言い方をするというのは、要は「どうでもいいから適当に追い返せ」の指令である。どーも、システム屋が何かの売り込みに来ている様な話だ。うちの会社の人々は交渉ごとには海千山千なのだが、システム関連の話にはあんまり強くない。 なんだか御社のシステムにセキュ
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
星野君のWebアプリほのぼの改造計画 第3回 Webアプリ、入力チェックで万事OK? - @IT
Webアプリ、入力チェックで万事OK?:星野君のWebアプリほのぼの改造計画(3)(1/5 ページ) 念願のWeb担当業務に異動した星野君。配属初日にセミナーのWeb申し込みフォームを3日で作る仕事を押し付けられた(第1回)。4カ月も管理者不在で放置されていたWebサーバを調べてみれば、「admin」だとか「test」だとか「old」という名前を付けられたファイルやフォルダが存在している。極め付きの大穴は、会社のWeb管理システムにSQLインジェクションが存在したこと(第2回)。 親友の山下君、メールでしか言葉を交わしたことのない「まこと先輩」の助けを得て、次々と浮かび上がるトラブルを解決する星野君に、心の休まる日は来るのだろうか? Web担当の仕事にもようやく慣れ始めた星野君。会社のWeb戦略が少しずつではあるが固まってきたこともあって、ちょこちょことした細かい要望に応える仕事をこなして
「このシステムが狙われる」,米SANSが“トップ20”リストを発表
米SANS Instituteが公開する「The Twenty Most Critical Internet Security Vulnerabilities」バージョン6.0 米SANS Instituteは米国時間11月22日,攻撃者に狙われることが多いシステムやセキュリティ・ホール(脆弱性)をリストアップした「The Twenty Most Critical Internet Security Vulnerabilities」を公開した。システム管理者やユーザーは同リストを参考に,自分が管理・利用しているシステムのセキュリティ・ホールがきちんとふさがれていることを確認しておきたい。 SANS Instituteでは,2000年から同様のリストを公開し,毎年1回更新している。2000年には,危険なセキュリティ・ホールやシステムを10件リストアップした「TOP 10リスト」を公開したが,
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
You Guard it with Your Life
安全なWebサイト設計の注意点