連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp第42回PostgreSQL 9.0に見るSQLインジェクション対策 大垣靖男 2011-05-19
暗号の2010年問題
「暗号の2010年問題」とは,暗号技術の寿命が尽きることで起こる問題のこと。米国政府の使用する暗号技術を決めている米国国立標準技術研究所(NIST)が,弱い暗号技術の使用を2010年に停止する方針を発表したことがきっかけで注目を集めている(図1)。 現在使われている暗号技術は,1)暗号鍵が十分長い,2)解読の近道がない──ようにして,現実的な時間で解けなくすることで安全性を確保している。しかし,暗号の解読にかかる時間は,コンピュータの性能向上によって短くなる。また,暗号技術に欠陥が見つかり,解読の近道が見つかってしまうこともある。例えば鍵の長さ112ビットの3DESは,条件によっては56ビットの鍵と同じ程度の強度しかないことがわかっている。世界最高速のコンピュータなら解読できてしまう可能性がある。 NISTの方針によって使用停止になる暗号技術は,「ぜい弱性のない共通鍵暗号方式の鍵の長さに換
2010年にSSLが使えなくなる?「暗号の2010年問題」が注目の的
セキュリティ分野で2009年注目のITキーワードを聞いた調査でITpro読者の注目を集めたのは,米国政府が2010年に強度の弱い暗号技術の利用を止める「暗号の2010年問題」と「USBウイルス/USBワーム」。いよいよ取り組むべき課題として認知されてきた2010年問題をにらみつつ,既に定番になった感のあるUSBウイルス/USBワームへの対処に追われる1年になりそうだ。 2位に入った「暗号の2010年問題」は,現在普及している暗号/認証システムが2010年末に使えなくなるという問題のこと。アルゴリズムのぜい弱性や暗号鍵長の不足などで解読が容易になる「2TDES(秘密鍵を2個使う3DES)」や「1024ビット長のRSA」,ハッシュ関数の「SHA-1」といった暗号技術を,2010年末までに米国立標準技術研究所(NIST)が政府標準から外す。日本でも2013年度までに同様の施策を採る。 暗号の20
なぜPHPアプリにセキュリティホールが多いのか?:第1回 CVEでみるPHPアプリケーションセキュリティ|gihyo.jp … 技術評論社
PHPアプリケーションの脆弱性は本当に多いのか? アプリケーションの脆弱性を調べるには、CVEを参照するのが簡単です。 CVEとは、NISTが公開しているソフトウェアの脆弱性データベースです。脆弱性を一意に特定できるIDを付与することを目的としています。Webアプリケーションの脆弱性もCVEに登録されています。CVEに2006/12/31に登録されたアプリケーションの脆弱性の数(同じアプリケーションは除く)は次の通りでした。日によって登録される脆弱性の数は異なります。12月31日は比較的多くの脆弱性が登録されました。 通常どおりPHPアプリケーションの脆弱性が目立ちます。特にこの日は同じアプリケーションで複数の脆弱性が登録されていたものがいくつかありました。 同じアプリケーションだけでなく、同じカテゴリの複数のアプリケーションに同じような脆弱性が見つかっている例もあります。 例えば「The
新入社員等研修向け情報セキュリティマニュアル - JPCERT コーディネーションセンター
新入社員等研修向け情報セキュリティマニュアル 企業や組織の教育担当者や情報セキュリティ担当者に向けて、新入社員等に情報セキュリティに関する知識を教える際のガイドライン、研修資料のベースとなるような情報やトピックをまとめたものです。 教育担当者や情報セキュリティ担当者向けのメッセージをコラム形式(「教育担当者・システム管理者の方へ」という囲み記事)で記載することで、新入社員向けのコンテンツとして直接利用できる部分と、そうでない部分を区別できるようにしています。 また、本編の補助教材として、初心者にセキュリティ意識を高めてもらうために、簡単なクイズ形式により、考え方やアプローチを身につけることを意識するように工夫してあります。 本編と併せて、セキュリティ対策やインシデント対応に関する社内ルールの教育、研修等にご活用ください。
@IT:Apacheでユーザー認証を行うには(Basic認証編)
Apacheのユーザー認証には、「Basic認証」と「Digest認証」がある。Basic認証は一般的に行われている方法だが、パスワードが暗号化されないため、機密性の高いデータへの認証には適していない。Digest認証はパスワードが暗号化されるが、これに対応しているのは比較的最近のWebブラウザに限られる。 ここではBasic認証を利用して、特定ディレクトリのWebページを開く際に「secret」というユーザー名でアクセスできるようにする(編注)。Digest認証を使う方法は、Apacheでユーザー認証を行うには(Digest認証編)を参照。
アドビ、「Adobe Reader」と「Adobe Acrobat」の脆弱性に対応する緊急パッチを公開
Adobe Systemsは米国時間2月16日、Windows、Mac OS X、Unixなどのプラットフォーム版「Adobe Reader」「Adobe Acrobat」に影響する2件の深刻な脆弱性を明らかにし、通常の修正パッチスケジュール外でパッチを公開した。 これらの脆弱性が悪用されると、攻撃者からの権限のないクロスドメインリクエストが実行されたり、システムが乗っ取られたりするおそれがあると、同社は16日付けで公開したセキュリティアドバイザリに記している。 セキュリティ研究者から修正パッチ公開プロセスに関する批判を受け、同社は2009年から四半期ごとのパッチ公開スケジュールに取り組んでいるが、今回の修正パッチのリリースはスケジュール外で実施するほど緊急性が高かった、と同社は説明する。 今回の脆弱性の深刻度を同社は「緊急」としており、独立系セキュリティベンダーのSecuniaは「非常に
CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
Please Rob Me
Raising awareness about over-sharing Check out our guest blog post on the CDT website. Online privacy Hi there, all we can say is wow. The amount of attention we're getting is amazing. It's great to see that the website has been picked up by so many awesome blogs, news providers and people out there, who got our point perfectly: Mashable The Next Web TechCrunch Slashdot On Locational Privacy, and
暗号の2010年問題、課題は「組み込み機器での対応」 - @IT
2010/02/10 日本ベリサインは2月9日、「暗号技術の2010年問題」についての説明会を開催した。同社SSL製品本部 SSLプロダクトマーケティング部の阿部貴氏は、特に家電製品やゲーム機、OA機器といった、暗号化機能を備えた組み込み通信機器での対応の遅れが課題になると指摘した。 SSL/TLSをはじめとする暗号通信を支えているのが暗号アルゴリズムだ。共通鍵暗号ならば「DES」「AES」、公開鍵暗号ならば「RSA」、ハッシュ関数ならば「SHA-1」といったアルゴリズムが使われている。しかし、計算機の能力の飛躍的な向上にともない、当初は「安全」とされてきたアルゴリズムも、時代を経るにしたがい安全とは言い切れなくなってきた。 米国標準技術研究所(NIST)ではこうした状況を踏まえて、2010年末までに、より鍵長が長く、より安全性の高いアルゴリズムへの移行を推奨している。具体的には、共通鍵暗
コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について:IPA 独立行政法人 情報処理推進機構
第10-09-178号 掲載日:2010年 2月 3日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2010年1月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 「有名企業や公共機関のウェブサイトが改ざんされ、そのサイトを閲覧した利用者がウイルスに感染した可能性がある」という報道が2009年末から相次いでおり、IPA へも多くの相談や問い合わせが寄せられています。一般的に「ガンブラー」と呼ばれているこの一連の攻撃は、「ウェブサイト改ざん」と「ウェブ感染型ウイルス(ウェブサイトを閲覧するだけで感染させられてしまうウイルス)」を組み合わせて、多数のパソコンにウイルスを感染させようとする手口(攻撃手法)の一種を指します。 ここでは、「ガンブラー」がどの
TBS/MS/ヤフーが中高生向け情報セキュリティ対策の啓発活動キャンペーン | パソコン | マイコミジャーナル
TBSテレビ、マイクロソフト、ヤフーは、情報セキュリティ政策会議にて制定された「情報セキュリティの日」(毎年2月2日)に合わせ、中高生向けの情報セキュリティ対策の啓発活動を推進するキャンペーン「C.I.A 〜サイバー・インテリジェント・エンジェルズ〜」共同実施を開始した。 TBSの中高生向けWebサイト「Girls@SweetStreet」レギュラー出演中、および雑誌「ピチレモン」モデルの「前田希美」(まえだのぞみ)と「黒田瑞貴」(くろだみずき)をメインキャストに起用。ネットの平和と安全を守る秘密組織「C.I.A」のエンジェルとして、インターネット利用時のトラブル解決や便利な活用法を習得していく過程を、全12回のドラマ仕立てにして随時更新 同キャンペーン活動は、3社共同企画の映像コンテンツをインターネット経由で提供し、中高生向けに情報セキュリティ対策のリテラシー向上と、PC/インターネット
Sota's Web Page (GumblarによるFFFTPへの攻撃について)
FTPのアカウントを盗み、サイトを改竄するGumblarウイルスが猛威をふるっております。 このGumblarウイルスの亜種が、FFFTPを狙って攻撃していることが報告されております。 これはFFFTPを使用することでGumblarウイルスに感染するという事ではありません。別の要因によりGumblarウイルスに感染した場合、その後、FFFTPがPC内に記録している情報が悪用されてしまうという問題です。 FFFTPはパスワードをレジストリに記録しております。Ver.1.96d以前は簡単な暗号化をかけていましたが、FFFTPはオープンソースであるため、暗号の解除はプログラムソースを解析すれば可能です。 Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。 上記理由により、下記の対策をお取りください。 なお、PCを安全に運用して、ウイ
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
「FFFTPだけが危ない」はデマ
■乗り換えても無駄 感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体 SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険 今のところ大丈夫なクライアントはある でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ ていうか、パスワードを保存すること自体が危険だよ INIファイルに変えたって同じだよ! ■特定のマルウェアに感染しなければ大丈夫 もちろん、「絶対感染しない」ってのは不可能だけどね 感染した場合に、FTPソフトが保存してる情報を盗み出して利用される だから危ないと騒がれてる 「特定のマルウェア」とは、8080系とか“Gumblar”とかいわれてる奴 ** ■過去にパスワードを保存していないなら平気 ** ■今後もパスワードを保存しなければ平気 保存して無いものは盗みようが無い
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
TechCrunch | Startup and Technology News
TechCrunch | Startup and Technology News
TechCrunch | Startup and Technology News
Linux技術トレーニング 基本管理コース:ミラクル・リナックス