OpenSSH を rssh で sftp 専用にする - LinuxとかOSSで色々やってみる
ネットワーク上でファイルの転送を行う用途には、昔から ftp が使用されてきました。しかし ftp にはパスワードやデータのやりとりが暗号化されていないというセキュリティ上の問題があるため、最近では anonymous ftp 以外の用途では使用されなくなってきていて、その代わりとして SSH を使用する scp や sftp が使用されることがあります。 ただ、SSH は元々 Telnet の代わりにリモートシェルを扱うためのプロトコルとして作られたため、ファイル転送機能だけが必要な場合は、本来のリモートシェルの機能がセキュリティの面で問題となります*1。 そこで、シェルを使用させずに scp や sftp のみ許可するために作られたのが rssh (日本語ページ)です。 rssh は制限付きシェルとして実装されており、OpenSSH を直接変更する必要がありません。また chroot
2007年のクロスサイトスクリプティングを振り返って - 葉っぱ日記
最近あちこちで「日記書くのサボってるよね」とか言われたので、サボってるわけじゃなくって書くネタがないだけだけど、無理やり2007年のXSSを振り返ってみるというネタで書いてみます。以下、著名サイトで見つけたXSSです。 産業技術総合研究所のXSS 404応答のページにてcharsetの指定がないため、UTF-7を利用したXSSが可能でした。ただし、ページ中に日本語を含むため、CVE-2007-1114を利用しIE7にてUTF-7で書かれたiframeを経由した場合のみXSS可能でした。ですので、実際の脅威にはつながりにくいと思います。届出:2007年4月11日、修正完了:2007年6月5日 sourceforge.jpにおけるXSS cvs.sourceforge.jpにおける404応答のページにてcharsetの指定がないため、UTF-7によるXSSが可能でした。ログインした状態ではセッ
Security guidelines | App quality | Android Developers
Android has built-in security features that significantly reduce the frequency and impact of application security issues. The system is designed so that you can typically build your apps with the default system and file permissions and avoid difficult decisions about security. The following core security features help you build secure apps: The Android application sandbox, which isolates your app
駄目な技術文書の見分け方 その473 - ockeghem's blog
ockehgemのブックマークを見ていたところ、6人のユーザに登録された以下の記事があった。 サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法, 池田雅一, ZDNET Japan, 2007年11月26日 また池田雅一か。顔見知りなのでズバリいくことにする。 この脆弱性の検査方法を説明する前に、SQLインジェクションの仕組みについて説明しよう。 へえ。 終わりの方を見てみると、 対策 SQLインジェクション対策の基本はXSSと同じく適切なエスケープ処理を行うことだ。最近、開発環境の多くは、Prepared Statementあるいはバインドメカニズムと呼ばれる仕組みが実装されているので、それらを用いることが最も簡単な方法といえる。 対策に「準備された文」(prepared statement) のことを書いたのは一応評価しよう。しかし、まあ彼はandとorの区別
従来の闇ビジネスより割がいい? サイバー犯罪の実態 - @IT
2007/11/28 11月27日より、コンピュータセキュリティをテーマとしたカンファレンス「PacSec」のトレーニングが開催されている。情報セキュリティの専門家が集い、情報を交換し合うことで、より効果的な対策につなげていくことを目的としたもので、11月29日からは日本や海外の研究者によるセッションが行われる予定だ。 PacSecを主催するドラコス・リジュ氏は、@ITの取材に対し、ここ1年のセキュリティ状況を振り返り「脅威は変化している。従来のネットワークベースの攻撃から、特定の組織や個人、アプリケーションを標的とするものに変化してきた」と述べた。 理由は明白だ。「サイバー犯罪はお金がもうかる。銃器類やナイフを扱う従来の闇ビジネスでは、ぜいせい5000ドル程度のもうけしか出ないが、サイバー犯罪では桁違いの金額がもうかる。つまり、より少ない危険でより多くのお金をもうけることができる」とリジ
仕様から学ぶOpenIDのキホン - @IT
にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。本連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部) OpenIDってなんだろう? 現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日本での普及は進んでいない状況です。 これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。 本連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。 広がりつつあるブラウザベ
第11回 ガジェット、ウィジェットのセキュリティ | gihyo.jp
ガジェットは小物か? ガジェットやウィジェットという言葉を聞いたことがあるでしょうか。デスクトップやWebに表示された時計やカレンダーのような小さなソフトウェアのことです。大規模なことを行うソフトウェアではなく、かゆい所に手が届く小物といった位置づけです。HTMLやJavaScriptを使って作られるため、開発もインストールも容易であることが広まった理由だと思います。元々は、「Window + Gadget = Widget」という関係にあったようですが、現在はどちらも同じ意味で使われることが多くなっています。そのため、この記事でも同じ意味として用いることにします。 Windows VistaではWindowsサイドバーという名称でデフォルトでインストールされています。図1の画面右側に表示されているのがサイドバーで、1つ1つのパーツをガジェットと呼びます。 図1 Windowsサイドバー
サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回までは安全なウェブアプリケーションを作成する手法をいくつか説明してきた。今回からは代表的な脆弱性についての検査方法を説明していきたい。まずは、クロスサイトスクリプティング(XSS)の脆弱性について、その検査方法を紹介する。 XSSとは、入力として受け取ったデータに含まれている「Javascript」などのスクリプトやタグが、それらが有効な形で出力(HTTPレスポンス)に含まれているために、ブラウザが意図しない動作や表示を行ってしまう脆弱性だ。 この脆弱性を使った攻撃の被害者はサイトを利用している利用者であり、サイトが直接的な被害に遭うことはない。この脆弱性を利用すると、攻撃者が意図した通りにブラウザをコントロールすること(たとえば、
第10回 RSSのセキュリティ | gihyo.jp
RSSでWebページの更新情報を提供することが多くなりました。ブログソフトウェアやCMS(コンテンツ管理システム)では自動的にRSSフィードを生成してくれます。また、RSS情報を取得し見やすく整形して表示するRSSリーダーを使用してWebサイトの巡回をしている人も多いと思います。今回は、RSSフィードを提供する場合のセキュリティとRSSリーダーのセキュリティについて考えていきます。 RSSフィードのフォーマット RSSにはいくつかのバージョンが存在します。RSS1.0、RSS2.0、Atomがよく使われています。たとえばRSS2.0は以下のようなXML形式のファイルです。このようなRSSフィードをWebサイト運営者が作成し、RSSリーダーがRSSフィードを読み込み、整形して表示するという流れになります。 <?xml version="1.0" encoding="utf-8"?> <rss
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年10月時点の調査。
livedoor ニュース - 【セキュリティ魂】良心はどこへ?ハッカー倫理の歴史にみる取引される脆弱性
【セキュリティ魂】良心はどこへ?ハッカー倫理の歴史にみる取引される脆弱性 2007年10月01日10時00分 / 提供:ネットセキュリティ コンピュータシステムの脆弱性の発見とその発表方法の歴史は、この20年の間に大きく進化している。 PC がまだこれほど普及していなかった頃は、システムの脆弱性(vulnerabilities)が発見されること自体が非常に稀だった。 1988年、米国防総省の研究開発部門が中心となって米カーネギーメロン大学内に設立した CERT(Computer Emergency Response Team :コンピュータ緊急対応チーム)がこれを変える。CERT は、発見された脆弱性をベンダーに通知し、ベンダーがパッチをリリースした後に仔細を一般公開する手法を取った。ベンダーがパッチをあてるまで脆弱性を隠す理由は俗に「 Security through obscuri
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ
Webブラウザの安全度をチェック(後編) / SAFETY JAPAN [特集] / 日経BP社
More on widgets: When one e-mail is enough to break a system.