WASForum Conference 2008 で OpenID のセキュリティの講演を行います - 日向夏特殊応援部隊
こんな日が来るとはまったく夢にも思わなかった訳ですが、7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum にて OpenID のセキュリティについて講演します。 最後に、OpenIDのセキュリティについてサイボウズ・ラボの山口さんにご講演いただきます。OpenIDがいよいよ普及するかも?という情勢ですが、そのセキュリティ、プライバシーへの影響はあまり知られていないと思われます。山口さんは、[http://d.hatena.ne.jp/ZIGOROu/searchdiary?word=*[OpenID]:title=blog「Yet Another Hackadelic」(のOpenIDタグ)]にて最近、OpenIDのセキュリティについてよく
7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Hardening Project
7月5日土曜日、東銀座時事通信ホールにて開催する、Developer DAYのプログラムは以下の通りを予定しています。 9:00 準備開始、9:30入場受付開始予定 Morning Session: 今どきのWebセキュリティ チェア: 独立行政法人産業技術総合研究所 高木浩光 10:00 – 10:30 EV SSLの意義と課題 有限責任中間法人 日本電子認証協議会 代表理事 秋山 卓司 IE 7で利用可能になったEV SSL。Firefox 3、Opera 9.5でも利用可能になりました。EV SSLとは何か、従来のSSLと何が同じで何が違うのか、なぜ必要とされたのか、そしてどのような効果が期待されているか等について説明します。また、EV SSLが日本市場において現在抱える課題についても紹介します。 10:30 – 11:00 SQLインジェクション対策再考 HASHコンサルティング株
"OpenID: Single Sign-On for the Internet" を読んだ (3) - 日向夏特殊応援部隊
Relying Party to Identity Provider redirect 悪意ある RP が discovery を偽って、ユーザーの入力した User-supplied Identifier から判別する OP EndPoint URL にはリダイレクトせずにそっくりなフィッシングサイトに行く可能性があるよねって話。 対策 色々考えられるけど、やっぱりブラウザ側で対応するのが一番良い気がする openid_identifier or openid_url と言う name属性を持つフォームの要素がページに存在するならばそのページは OpenID 対応と見なす そうじゃないなら OpenID 対応と見なさず、そもそも OpenID の Identifier を入れる事をお勧めしない ブラウザの機能として実際に入力された identifier を RP に送信する前にフックかけ
"OpenID: Single Sign-On for the Internet" を読んだ (2) - 日向夏特殊応援部隊
Negotiating crypto keys associate の時に DH 鍵交換を行う際に潜む問題点です。 何が問題なのか In the original description, the Diffie-Hellman exchange by itself does not provide authentication of the communicating parties and is thus vulnerable to a man-in-the-middle attack. A person in the middle may establish two distinct Diffie-Hellman key exchanges, one with Alice and the other with Bob, effectively masquerading as Alice
国産ID/PASS共通化サービス「ユグドア」のベータテスト提供開始 | ネット | マイコミジャーナル
ユグドアはこのほど、WebサイトのID/パスワード共通化サービス「ユグドア」のベータテストを開始したと発表した。ユーザーが多くのWebサイトに1つのID/パスワードでログインできるようにすることを目的としたサービス。Webサイト管理者には同サービスを簡単に利用できるソフトウェアを無料で提供する。 「ユグドア」のトップページ画面 ユグドアの登録ユーザーが同サービス対応のWebサイトへログインする際に、ユグドアのサーバ経由でユーザー認証を行う。ユーザーはどのWebサイトでもユグドアのID/パスワードでログインできる。 この際、Webサイト側にはユグドアの登録ニックネーム、登録日時、各サイト別に生成するユーザーの"お客様番号"のみが通知され、Webサイト側がID/パスワードやメールアドレスなどを知ることはできない。 OpenIDと同様のコンセプトによるサービスだが、OpenIDは"規格"であり、
OpenID に対する中間者攻撃のデモ - 日向夏特殊応援部隊
いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1 試したけど、idtheft.fun.de と言うドメインは変わらない物の、入力した Identifier に応じた OpenID Provider そっくりの画面が出て来た。myopenid.com, claimid.com で確認しました。 素人さんはこれは気づかないんじゃないのかなー。 ちなみに以前紹介した Sxipper の Firefox 拡張 を使えば見事にフィッシング検出されました(ぉ ちゃんと読んで無いと先に断っておきますが、紹介記事は多分パスワード認証よりCardSpaceみたいのがいいよねって感じを暗に訴えてるように思える
Debian, Ubuntu等に限定したOpenSSLの脆弱性 - 日本Linux協会blog
Debian Projectにも参加している野首です。先日、Debian Projectを震撼させる出来事が発生しました。 オープンソースソフトウェア、あるいは一部の商用ソフトウェアでも利用されている、OpenSSLという暗号化ライブラリに、Debian開発者の当てたパッチが原因で予測可能な乱数を生成してしまう脆弱性が入り込んでしまいました。 暗号にとって乱数は非常に重要です。予測可能な乱数を使ってしまうと、それが暗号を破る手がかりとなってしまいます。 ライブラリの脆弱性なので影響範囲も大きく、OpenSSH, OpenVPN, DNSSECの鍵やX.509証明書などが影響を受けます。特にOpenSSHは非常に大きな問題です。 オリジナルのOpenSSLにはこのような問題はないので、今のところDebianとUbuntuがこの脆弱性についてのリリースを出しています。 [SECURITY] [
こめんと(2008-04-22) - MutualTestFox 公開
■ [Misc] 怒涛 うわー、なんか無茶苦茶忙しかった……。 とりあえず2件の発表を終えました。やること溜りまくりですねぇ。 ■ [Work] Fail-Safe C release 1 公開 というわけで、1つ目の発表は Fail-Safe C の正式版公開 です。 最初に函館で発表したのが2001年のJSSST大会*1 で、かれこれもう7年もかかってしまいましたので、プレスリリースは自分なりの1つの纏めとケジメのつもりです。 協力して頂いた皆様、本当にありがとうございました。 Slashdot をはじめいろいろ連絡とかバグレポとかフィードバックを頂いた皆様、対応が遅れていてすみません。 有難く早急に取り組ませて頂きたいと思います。 Fail-Safe C の研究を始めるに当たって「C言語を対象にする」と決めた時点で、 実用に供するというのは大前提の1つです。これからも Fail-Sa
『セキュリティ=禁止』ではない。 - Naruhito Blog... Just what is it?
何を今更という感じではあるが、『セキュリティ=禁止』ではない。そのはずだ。 でも、それをわかっていない人たちが多すぎるように思う。 少なくとも僕の会社ではそれをわかっていない"なんちゃって情シス担当"によって仕事がやりにくくて仕方なくなってきている。 我が社はコンピュータセキュリティの製品開発やコンサルもやっている会社。 そんな会社がこんな""なんちゃって情シス担当バカ"に決められていいのか? 僕たちセキュリティのプロにそもそもアドバイスを聞くべきではないのかと憤慨もしたが、社長に先に承認をもらわれてしまってからは、とにかくトップダウンだという思考停止状態に陥っている。 しかし、我が社でもこんな感じなのだから、普通の人たちもこんな感じなんだろうなぁ〜。 例えば、個人情報保護法が施行されたとき。 個人情報保護法の本来の目的は、個人プライバシーを厳格に管理することと、それを有効に利用することに
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
私のemailアドレスからのメールに注意してください
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
産総研:パスワード相互認証プロトコルの技術評価用ソフトウェアを公開
発表・掲載日:2008/04/22 パスワード相互認証プロトコルの技術評価用ソフトウェアを公開 -抜本的なフィッシング詐欺防止技術の実用化に向けて- ポイント インターネットにおけるフィッシング詐欺を防止できる新しい認証方式を開発。 技術評価用のウェブブラウザとサーバー用拡張モジュールをオープンソースで公開。 ウェブブラウザに標準搭載され、フィッシング被害が減少することに期待。 独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【研究センター長 今井 秀樹】(以下「RCIS」という)とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、これまでインターネットにおけるフィッシング詐欺を防止する「ウェブでの利用に適したパスワード相互認証プロトコル」の研究開発を進めてきた。このたび、新しい認証プロトコル
AIST RCIS: Mutual Authentication Protocol for HTTP
Overview "HTTP Mutual Access Authentication Protocol" is a proposed new protocol for preventing Phishing attacks against Web systems. This protocol provides true mutual authentication between HTTP clients and servers using simple password-based authentication. Unlike Basic and Digest HTTP access authentication protocol, the protocol ensures that the server knows the user's entity (encrypted passwo
Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開
産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。 HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後
不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回復に社員一同、全力で取り組む所存です。今回の個人情報流出の対象となる、2007年1月1日~2008年3月22日までに新規会員登録をいただいた122,884名全てのお客様に、以下を弊社の補償とお詫びとさせて頂きたく提示し、お客様のご理解を頂きたく存じます。 ※ 実際の個人情報流出対象のお客様は、延べ人数で97,500名分となりますが、今回の不正アクセスは特殊な方法でデータを抽出されている為、実際に流出した個人の特定ができません。従いまして対象期間内に新規会員登録を頂いた全てのお客様を対象とさせていただきます。 1. この度の個人情報流出に関連して、万が一、お客様がカ
scientificclub-run.net - このウェブサイトは販売用です! - scientificclub run リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
“解読不能”の新暗号の記事について、いつくかのお詫び ― @IT
先週末の金曜日に掲載した「『解読不能は数学的に証明済み』、RSAを超える新暗号方式とは」がアクセスランキングの2位に入っているが、はてなブックマークやブログで、たくさんのご指摘、ご批判をいただいた。取材、執筆したニュース担当記者である私(西村賢)はいくつかお詫びしなければならない。 1つは記事タイトルや冒頭の記述だけを見ると、まるで確定事項のように見えること。アルゴリズムの公開や検証が済んでいないので「原理的に解読不能と主張する研究者が現れた」と書かなければならないところだった。記事の末尾で「CAB方式は、まだ実績がなく事実上未公表の技術だ。情報が公になっていくにつれて、専門家たちがどう反応するかは未知数だ」と書いたときには、今後アルゴリズムが公表されてすぐに理論的な瑕疵が見つかる可能性があるという意味のつもりだったが、誤解を与える記事構成だった。 アルゴリズムを非公表にしたまま「解読不能
これはMITMですか - ockeghem's blog
ITproにWebメール狙うサイド・ジャッキング | 日経 xTECH(クロステック)と言う記事が。 7月末に米国・ラスベガスで開催されたセキュリティ・カンファレンス「BlackHat USA2007」で,無線LAN越しにWebメールのセッションをハイジャックするデモが行われた。端的に言えばHTTPの通信の盗聴である。 ちょっと気になった点があるので、備忘録的に書いてみます。 特徴は,無線LANの通信パケットをキャプチャし,人がデータの内容を盗み見て解析する点である。いわゆるMan in the Middle(中間者)攻撃だ。 サーバーとクライアントの通信に割り込む訳ではないので、中間者攻撃とは言わないと思います。 中間者攻撃の権威ある定義・解説は中々見当たらないのですが、例えば、産総研の脚注で見つけた以下の解説。 ◆ 中間者攻撃 (Man-in-the-middle Attack) クラ
「国語的に解読不能」─ニュースサイトがコンテンツ配信に暗号導入 - bogusnews
ニュースサイトの「bogusnews」は13日、同紙のコンテンツ配信に新型暗号を導入することを決めた。この暗号は東京理科大学の大矢雅則博士と共同で開発した、まったく新しいもの。従来のRSA暗号などとは異なり「国語的に解読不可能」だと証明されており、配信時のセキュリティや著作権保護を大幅に強化することができるという。 ニュースサイトの記事については、かねてから「誰が読んでも感心できるわかりやすい文章を書くと、簡単に盗用されてしまう」という問題が指摘されてきた。bogusnewsはこれを解決するために、記事を暗号化し盗用を防ぐための技術開発に心血を注いできた。今回、大矢教授の協力を得ることでまったく新しい暗号である「CAB方式」の導入に成功。実用レベルに達したと判断し、今後のコンテンツ配信は暗号化しておこなうことを決めた。 大矢教授によれば、 「この暗号方式は、従来の“カエサル暗号”や“たぬき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。