■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
ãããããã¼ ã¬ã¤ã Google App Engine ã¸ãããããã®ãããããã¼ ã¬ã¤ãã¯ãGoogle æè¡ã使ç¨ãã¦æ¡å¼µå¯è½ãª Web ã¢ããªã±ã¼ã·ã§ã³ãä½æããããã«å¿ è¦ãªãã¹ã¦ã®ç¥èãç¶²ç¾ ãã¦ãã¾ãã ãã®ã¬ã¤ãã¯ã次ã®ã»ã¯ã·ã§ã³ã§æ§æããã¦ãã¾ãã æ¦è¦ Google App Engine ã«ã¤ãã¦ãApp Engine ã®æ©è½ã¨ãµã¼ãã
DSASのロードバランサは高価なアプライアンス製品ではなく、LinuxのLVS (Linux Virtual Server)を利用しています。 安価、というか、ハードウエア以外は金銭的コストがゼロなので、一般のクライアントからのアクセスを受ける外部ロードバランサのほかに、内部サービス用のロードバランサも配置しています。それぞれactive, backupで2台ずつあるので合計で4台もロードバランサがあることになります。(こんな構成を製品を使って組んだら数千万円すっとびますね) また、ネットワークブートでディスクレスな構成にしているので、ハードディスが壊れてロードバランサがダウンした、なんてこともありません。 ですので「ロードバランサは高くてなかなか導入できない」という話を耳にする度にLVSをお勧めしているのですが、どうも、 なんか難しそう ちゃんと動くか不安 性能が出ないんじゃないか 等々
■ [Security] 40ビット暗号の攻撃可能性 SSL の話がだいぶあちこちで話題になっているようで、例えば もりぶさんの日記 などでもこんな疑問が出ている。 Firefox 1.0.6やSeaMonkeyで接続すると「低程度な暗号化を使ったページを要求しています」という警告出るんだけれど、これは安全なのでしょうか? 特に問題無いならどうでもいい話ですが。 というわけで、果たして現実に40ビット暗号はどれくらい攻撃可能なのか? というのを 検証してみようというのが今日のお題。今回は SSL2 の 40bit RC4 暗号化をターゲットにする。 まず、SSL2.0 の 40ビット RC4 暗号化での暗号鍵の作り方をざっとおさらいしておくと、 クライアントが 88ビットの乱数を平文で 40ビットの乱数をRSA暗号化して サーバに送信 サーバとクライアントはそれぞれ、それらを結合した128
Overview CAL9000 is a collection of web application security testing tools that complement the feature set of current web proxies and automated scanners. CAL9000 gives you the flexibility and functionality you need for more effective manual testing efforts. Works best when used with Firefox or Internet Explorer. CAL9000 is written in JavaScript, so you have full access to the source code. Feel fre
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く