今まではフリーのアンチウイルスソフト＆ファイアウォールで十分だろうと高をくくっていたのですが、「ものは試しだからこのESET Smart Security V4.0を使ってみては？」ということで、実際に統合セキュリティソフト「ESET Smart Security V4.0」を使ってみました。 実際に使ってみて決定的な差だなと感じたのはその使いやすさ。いくら機能的に優秀でも使いにくければ意味がないわけですが、この「ESET Smart Security V4.0」は非常に使いやすく、さすがに操作もこなれている感じがします。また、反応速度の素早さも秀逸で、試しにウイルス感染済みのUSBメモリをざくっと「ESET Smart Security V4.0」が常駐しているパソコンにさしてみたわけですが、速攻で検知して駆除するという徹底ぶり。USBメモリの持ち主は信頼できてもそのUSBメモリも同じよ

［柔軟すぎる］IEのCSS解釈で起こるXSS：教科書に載らないWebアプリケーションセキュリティ（3）（1/3 ページ） XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます （編集部） なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「［これはひどい］IEの引用符の解釈」と第2回「［無視できない］IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング（XSS：cross-site scripting）を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、

IBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.

皆さんこんにちは、川口です。いま、この原稿を北海道の千歳空港のロビーで書いています。実は4月11日に札幌で行われた「北海道情報セキュリティ勉強会（おもに札幌）（通称：セキュポロ）にご招待いただき、お話をさせていただきました。いままで広島、大阪の勉強会でお話させていただくことがありましたが、北海道は今回が初めてでした。 セキュポロに参加して浮かんだキーワードは「熱い勉強会」、そして「甘いお菓子」です。北海道では、あっちにもこっちにもコミュニティができて、熱い勉強会をしているようです。これは東京をしのぐような熱さでした。特に「北海道開発オフ」では、ひたすら黙々とコーディングしているとのこと。なんて硬派なんでしょう。そして、もう1つのキーワード「甘いお菓子」の方ですが、今回出されたのはチーズケーキでした。これがとてもおいしくて、参加者の交流に一役買っておりました。 そんな熱い勉強会と甘いお菓子に

今回は、「⁠不正なバイト列の埋め込み」という攻撃方法について紹介します。 文字列を入力とするソフトウェアにはさまざまなものがありますが、それらの処理系によっては、入力として与えた文字列中に、その文字コード上は不正となるようなバイト列を埋め込んでいたときに、それらのバイト列が無視されたり、想定外の文字に変換されてしまうことがあります。 たとえば、とあるソフトウェアにて （1) 処理A ＝ 文字列中に特定の文字（あるいは文字列）が含まれていないか検査 （2) 処理B ＝ 処理Aから受け取ったデータを処理。その際に不正なバイト列が無視あるいは別の文字に変換される という流れになっていた場合、後続の処理にて本来はフィルタリングされるべき文字列が含まれてしまうことになります。 このような流れを引き起こす具体的な例をいくつか紹介します。 Mozilla Firefoxにおける0x80の無視 Mozil

重要なデータを保存するために，フォルダやファイルを暗号化してデータを保存している人は多いだろう。データを暗号化するといっても，自宅やオフィスのコンピュータに保存されているデータを暗号化する，モバイル用のハードディスクやUSBメモリー内に保存されたデータを暗号化する，あるいは第三者にデータを送信するためのデータを暗号化する，といったさまざまな利用形態が考えられる。このような利用形態に応じたデータの暗号化のためのフリーソフトやシェアウエアは非常に多く，どれを選んだらよいか迷うほどだ。 今回紹介する「TrueCrypt」は，こうした使い方すべてに利用できる高機能・高信頼性の暗号化ツールとしておすすめのフリーソフトである。英語版のツールながら，日本語化ファイルを適用することで日本語表示の状態で使用できる。 TrueCryptの最大の特徴は，暗号化されたファイルを格納するコンテナとして，仮想暗号化ド

文：Tom Espiner（Special to CNET News） 翻訳校正：矢倉美登里、高森郁哉2009年05月20日 13時31分 ロンドン大学ロイヤルホロウェイ校の研究チームが、広く使用されている暗号化プロトコルOpenSSHに内在する脆弱性を明らかにした。 ロイヤルホロウェイ校Information Security Group（ISG）の研究チームによると、「Debian GNU/Linux」に含まれるOpenSSHのバージョン4.7に存在するこの脆弱性を突けば、32ビットの暗号化されたテキストを平文に変換することが可能になるという。 攻撃者が成功する確率は26万2144分の1だ。ISGを率いる教授のKenny Patterson氏は、CNET Newsの姉妹サイトであるZDNet UKに現地時間5月18日、今回の脆弱性はこれまでに発見されたOpenSSHの脆弱性よりも重大だ

一般社団法人JPCERTコーディネーションセンター 〒103-0023 東京都中央区日本橋本町4-4-2 東山ビルディング8階 TEL: 03-6271-8901　FAX 03-6271-8908 ご利用にあたって プライバシーポリシー お問い合わせ モバイル向けコンテンツ © 1996-2024 JPCERT/CC

今回は、文字コードに関連するセキュリティの話題では古参ともいえるUTF-8の冗長なエンコードというテーマについて紹介します。 UTF-8とは UTF-8は、各文字を1～4バイトの可変長で表現するUnicodeの符号化方式のひとつです。 U＋0000からU＋007Fの範囲の文字を0x00から0x7Fの1バイトで表現しているため、US-ASCIIと互換性がある、バイト列の途中からでも文字の先頭バイトを簡単に検出できる、多バイト文字の途中に0x00や0x5C（\⁠）⁠、0x2F（/）などが現れない、などの特徴があります。 UTF-8での文字のビットパターンは表1のようになります。 表1　UTF-8でのビットパターン

なにげにしらなかったんだけど、 IEで別ドメインのiframeを読み込むと、 そのiframe内のcookieが有効にならない。 そーゆーときは、HTTPのレスポンス時リクエスト時のヘッダーに 下記のkey＆valueを出力しておけばOKらしい。 ("P3P", 'CP="CAO PSA OUR"')こーするだけで、あらふしぎ。IEがCookieを保存して意図した挙動をしてくれるじゃん。 この宣言の意味 P3P コンパクト ポリシー ヘッダーを追加し、ユーザーのデータを使用して悪質な操作が実行されないことを宣言すればCookieが有効になるみたい。Internet Explorer が適切なポリシーを検出すると、Cookie の設定が許可されます。 その、宣言の条件とは下記の３つ。 CAO サイトはユーザー自身の連絡先情報へのアクセスを提供すること PSA データはオンラインの個人に接続さ

読売新聞が中国、ＩＴソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる（はてなブックマーク、痛いニュース）。 しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。 【注】本エントリのスコープは中国の強制認証制度に関する正確な情報を伝え、多くの人が誤解している点を正す点にある。中国が信用できるかできないか、ソースコードの流用がなされないか、という懸念に関する議論はスコープ外である*1。 まず第一に、審査対象と

以下、IPアドレスが192.168.135.111のDCが存在するW2K8AD1.LOCALというADドメインでLinuxマシンの認証を行う場合を例に、具体的な設定例を示します。 SUAのNISサーバ機能のインストール 表1の通り、Windows Server 2003 R2以降では、NISサーバ機能はSUAの1コンポーネントという位置づけになっています。そのためインストールについては非常に簡単です。 インストールの詳細手順については、「⁠第2回「SUAのNIS機能による認証統合」」の「SUAのNISサーバ機能のインストール」と同一ですのでここでは省略します。NISサーバとして一通り動作することを確認しておいた方がよいでしょう。 ただし、以下のLDAP認証を行う上ではNISが動作している必要はありません。NISサーバとして動作させる必要がない場合は、動作確認を終えたら「NISサーバー」サー

はじめに Ajax（Asynchronous JavaScript + XML）やマッシュアップ（Mashup）に代表されるWeb 2.0技術は、そのリッチで使いやすいユーザーインターフェイスや高速なレスポンス性から、現在のWebアプリケーション開発のトレンドの一つとなっています。現在注目を集めているクラウド・コンピューティングにおいても、雲（＝インターネット）から提供されるサービスを使用したり連携するために、AjaxやJavaScriptはよく用いられます。しかし、セキュリティーの観点から見ると、これらWebアプリケーションやその主要な実行環境環境であるWebブラウザーには、さまざまなセキュリティー上の脅威が存在します。図1は、IBMのセキュリティ部門の一つであるISSが公開しているセキュリティ脅威のトレンドとリスクに関するレポート2008年版によるもので、ISSが検知したWebアプリケ