Do any security experts recommend bcrypt for password storage?
On the surface bcrypt, an 11 year old security algorithm designed for hashing passwords by Niels Provos and David Mazieres, which is based on the initialization function used in the NIST approved blowfish algorithm seems almost too good to be true. It is not vulnerable to rainbow tables (since creating them is too expensive) and not even vulnerable to brute force attacks. However 11 years later, m
Java Hashing using MD5, SHA, PBKDF2, Bcrypt and Scrypt – HowToDoInJava
Learn Java hashing algorithms in-depth for hashing passwords. A secure password hash is an encrypted sequence of characters obtained after applying specific algorithms and manipulations on user-provided passwords, which are generally very weak and easy to guess. Many such hashing algorithms in Java can prove effective for password security. Each time a user login into the application, we must gene
PHPカンファレンス2014 当日レポート[更新終了] | gihyo.jp
10月11日、大田区産業プラザPiOにて「PHPカンファレンス2014」が開催されています。本稿では、本イベントの各セッションの模様を随時更新形式でレポートしていきます。 今年はセッショントラックが3つ、ワークショップトラックが1つ、計4トラック構成です。そのため、すべてのセッションはレポートできません。ご了承ください。 今年は4Fが受付になっています。 4F受付近辺にはスポンサーブースがあります。ぜひお立ち寄りください。 Ustreamの中継が行われています。 メイントラック Bトラック Cトラック ワークショップトラック 今年もWordCamp Tokyo 2014と共催です。WordCampの会場は1階です。 また、1Fにはジュンク堂書店が出張所を出しています。サイン会も予定されています。 オープニング PHPカンファレンス2014委員長の前島有貴さんより、オープニングの挨拶がありま
![PHPカンファレンス2014 当日レポート[更新終了] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/cbadf7c24cb53a60b58e78c0cdaf5cdc79de5bb3/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2014%2F1317_phpcon2014-report.png)
安全なPHPアプリケーションの作り方2014
2. 徳丸浩の自己紹介 • 経歴 – 1985年京セラ株式会社入社 – 1995年京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – HASHコンサルティング株式会社代表http://www.hash-c.co.jp/ – 独立行政法人情報処理推進機構非常勤研究員http://www.ipa.go.
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記
2014-09-27: 該当サイト上にXSSがなくても攻撃可能であることが id:mayuki さんのコメントで判明しましたので全面的に書き直しました。ファイアウォール内であっても攻撃者はファイアウォール内のShellshock攻撃が通用するCGIのURLがわかっているだけで攻撃可能ですので早急に対応が必要です!会社のブログにも書いてますが、ファイアウォール内に置いてあるサーバで攻撃者が直接アクセスできないからといってbashの更新を怠っていると、条件によっては攻撃が可能となります。 条件としては、 そのサーバにはシェルを経由して外部コマンドを起動するCGI等が動いている(通常のShellshockの攻撃と同条件) 攻撃者がそのURLを事前に知っている(あるいは推測可能) となります。 攻撃者は、ユーザーを罠URLへ誘導し、以下のようなJavaScriptを罠ページ上で動かし、攻撃対象のW
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を
2013年以降、マルウェア感染による不正送金被害が国内でも増加している。警察庁のまとめによると、ウイルスに感染してIDやパスワードを盗み取られ、他人の口座などに不正送金される被害は、2013年は前年の約14倍に当たる1325件に上った。2014年に入ってもその傾向は変わらず、2月末の時点で500件、約6億円に上る被害が生じているという。 不正送金で、最近増えているとされるのが「Man-in-the-Browser」(MITB)と呼ばれる手法だ。被害者のPCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作してWebページの表示に改ざんを加え(=Webインジェクション)、IDやパスワード情報を盗み取ったり、送金先口座を変更してしまったりする。 産業技術総合研究所が2014年3月13日に開催した「第2回 セキュアシステムシンポジウム」において、同研究所の高
OpenSSL to Keytool Conversion tips - ConShell
Every so often I hear of someone who needs to convert their openssl-generated certificate and key (typically in PEM or DER format) into a Java Secure Socket Extension (JSSE) keystore. This process is complicated, but it can be done. Here are a few links that may help. OpenSSL generated certificates and keys are encoded in PEM format by default. This format is base64-encoded. The other type used is
NIST、sshによる自動アクセスの指針を発表
NIST is an agency of the U.S. Department of Commerce NISTは「NISTIR 7966 (Draft) - Security of Automated Access Management Using Secure Shell (SSH) (PDF)」において、適切にSecure Shell (SSH)プロトコルを理解し正しく使用するように注意を呼びかけている。ホスト間で安全に自動的に通信を実施したい場合には、しばしばSecure Shellプロトコルが使われる。しかし実際には、SSHプロトコルを適切に使用していないため、セキュリティ的に問題のある状態のまま運用されていることがある。 NISTは公開したガイドドキュメントを通じて、特に企業や機関でのSecure Shellプロトコルの利用を適切な状態にしたいとしている。Secure She
AWSのセキュリティが気になるなら読んでおくべきAWSセキュリティのベストプラクティス - yoshidashingo
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 昨日、DevLOVE現場甲子園2014東日本大会に参加して現場目線でのAWSセキュリティあるある的な話をして来ました。 その際にAWSのセキュリティ全般について知りたい場合に何を読めばいいか質問されたので、こちらで紹介しておきたいと思います。 AWSセキュリティセンター 1. AWSセキュリティ概要 ストレージデバイスの廃棄**の章では、ストレージデバイスが製品寿命に達した場合に、DoD 5220.22-M または NIST 800-88 に記載されている技術を用いてサニタイズを行ってから廃棄されるということが書かれています。 2. AWSセキュリティのベストプラクティス AWSの共有責任モデルを知る (1) Infrastructure servicesにおける共有責任モデル (2) Container
Add Two-Factor Authentication To Your Website with Google Authenticator and Twilio SMS
Products Communications Messaging Send and receive multichannel text and media messages in 180+ countries
自分の個人情報がどこから流出したかが丸わかりになる、Gmailの機能が凄い!個人情報漏洩対策として、登録先ごとに個別設定してみよう。 - クレジットカードの読みもの
近年、日常茶飯事になりつつある個人情報の漏えい事件。 ベネッセや日本航空の事例などなど、セキュリティ意識の高い大手企業であっても個人情報流出を止められないわけですから、対策にお金をかけられない中小企業や個人商店からの流出は、もはや星の数ほど発生してると考えるのが自然…。 酷いケースだと企業側が流出に気付いていない場合すらあることを考えると、住所、氏名、電話番号、クレジットカード情報といった大切な個人情報は自分自身で守るほかないのかもしれません。 大量の情報漏えい: ニュースになるので気付きやすい&企業側からの連絡が期待できる 小規模な情報漏えい: 被害者が少ないので気付きにくい&場合によっては流出したことすら通知すらされない(そもそも企業側が流出を認識できていないことも) では、どうすれば個人情報流出から身を守ることが出来るのか? 今回は参考までに、自分が登録した個人情報がどこから流出した
RFC 4226: HOTP: An HMAC-Based One-Time Password Algorithm
Network Working Group D. M'Raihi Request for Comments: 4226 VeriSign Category: Informational M. Bellare UCSD F. Hoornaert Vasco D. Naccache Gemplus O. Ranen Aladdin December 2005 HOTP: An HMAC-Based One-Time Password Algorithm Status of This Memo This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.jenkins.io/content/cve-2014-6271-impact-jenkins/
Why are salted hashes more secure for password storage?
被害の前に!Macを買ったら絶対にやるべき10の無料セキュリティ対策
模倣サイト注意喚起に踊った輩は何が迂闊だったか
ファイル検索に関するヒント
GitHub - mairin/selinux-coloring-book: A coloring book to help folks understand how SELinux works.
AWS Webinar Series: Security Best Practices on AWS