パスワードの判定にstrcmpを使うべきでない理由
strcmpを使ってパスワードを判定すると、タイミング攻撃 (timing attack) にやられる危険性があることの説明 (約20分)。 まとめ: パスワードなどの文字列を strcmp関数 (およびそれに類する関数) を使って判定すると、 その判定にかかる時間を測定することで、パスワードが推測できてしまう場合がある。 これをタイミング攻撃 (timing attack) という。 この例では、36種類の文字を使った8文字分のパスワードを推測するのに、 通常のしらみつぶしな方法 (bruteforce attack) … 368 = 2821109907456回 の試行が必要なのに対して、 タイミング攻撃を使った方法 … 10000×8 = 80000回 しかかからない。タイミング攻撃を成功させてしまうと、 重要な情報が漏洩してしまう危険性がある。 これを防ぐためには、なるべく実行時間
そろそろセプキャン2009に参加したことについて一言言っておくか - \アオシバ状態!/
もう二週間以上も前ですね、ブログ更新するのが遅くてすみません。 とりあえずブログを書くまでキャンプは終わらないらしいので セキュリティ&プログラミングキャンプ2009 参加してきました。関係者の皆さんお疲れ様でした。 セキュリティクラスのバイナリ解析組でした。バイナリアンの仲のよさは異常でしたw 雑感 個人的に一番印象に残っているのがはてなCTOの伊藤さんのお話でした。 「深く潜る」、承認欲求、劣等感…自分が陥っている状況が危険な状況だとわかりました。技術に向き合えるようになりたい。 5日間はあっと言う間でした。このキャンプでやったことをとっかかりにして更に技術を磨いていきたいと思います。 他にもいろいろ感想を書きたいところですが省略します。 宿題のアンケート+感想文で7000字くらい書いたのでその文章を貼り付けてもいいんですけど、恥ずかしいので書きません>< ありがとうございました。
セキュリティ&プログラミングキャンプ2009 レポート:「実践的であれ」――伊藤直也氏から学生への言葉 - @IT自分戦略研究所
セキュリティ&プログラミングキャンプ2009 レポート 「実践的であれ」――伊藤直也氏から学生への言葉 岑康貴(@IT自分戦略研究所) 2009/8/20 8月12日から16日にかけて行われた「セキュリティ&プログラミングキャンプ2009」。学生たちのキャンプ中の様子や特別講義の模様をレポートする。 吉岡弘隆氏への開会前インタビューへ|1 2 3|次のページ 豪華な講師陣がそろった「セキュリティ&プログラミングキャンプ2009」が、8月12日から16日にかけて行われた。セキュリティコース31人(大学生15人、高等専門学校生7人、専門学校生4人、高校生5人)、プログラミングコース30人(大学生8人、高等専門学校生5人、専門学校生3人、高校生11人、中学生3人)。合計61人の学生たちが熱心に(同時に黙々と)講義を受け、課題に取り組んでいた。
セキュリティー&プログラミングキャンプ2009に参加してきました!!! - Pastalablog in はてな
追記(2009/08/20):プレゼン資料を公開しました http://d.hatena.ne.jp/Pasta-K/20090820/1250770929 思い出のキャンプ、参加者の皆さん、講師の皆さん、チューターの皆さん、事務局、関係者の皆さん、お疲れさまでした。帰宅してブログを書くまでがキャンプです。 2009-08-16 - 未来のいつか/hyoshiokの日記 という訳で、感想書きます*1。どの順番で書くか迷う。。。 ちょっと長いですけど、最後まで読んでいただけると嬉しいです。 会場到着までの間の話 id:uiureoとは、待ち合わせしてたんだけど、目の前でインターネットプロコトルが云々という本を読んでる人が居たので、まさかなぁっと思っていたら、id:siritoriだったので、一緒に行きました。 海浜幕張駅*2に着くと、大きい荷物を持った人が、わんさか居たので、3人で後ろから着
セキュリティ&プログラミングキャンプ 2009 を終えて - IT戦記
はじめに セキュリティ&プログラミングキャンプ 2009 参加してくださった学生の皆様、講師やチューターの皆様、また、ご協力いただいた事務局の皆様、本当にお疲れさまでした! そして、熱い思い出をありがとうございました!! 今年も、素晴らしいキャンプにすることができたなあと思っています。 今年も様々な出会いがありました 今年は、参加者同士が横に繋がれるように様々な工夫をしました。 ご飯を食べながらのコミュニケーション(多少無言になっても気まずくないし、話も弾み易い) 皆が、名刺を持っているというルール(パッと参加者と会ったときとかに、話かけるきっかけを作り易かった) 早い段階での交流(初日のうちに仲良くなっちゃったほうが、後からさらに友情を深め易い) この結果、去年よりも広く参加者同士の繋がりが広がったのではないかなー。と思っています。 キャンプでも言ったのですが、キャンプで出来た仲間は 同
学生が開発したコードがRubyの本体に---セキュリティ&プログラミングキャンプ2009を開催
「学生が開発したコードが,Ruby本体に取り込まれ,Linuxカーネル・メーリング・リストにも投稿された」(プログラミングコース 主査 よしおかひろたか氏)---。経済産業省(経産省)などは2009年8月12日から16日まで,学生が合宿形式でIT技術を学ぶ「セキュリティ&プログラミングキャンプ2009」を開催した。 「セキュリティ&プログラミングキャンプ2009」は,経産省が独立行政法人 情報処理推進機構(IPA),財団法人 日本情報処理開発協会(JIPDEC),NPO 日本ネットワークセキュリティ協会と共催しているイベント。2004年に「セキュリティキャンプ」として始まり,2008年からプログラミングコースを新設し,「セキュリティ&プログラミングキャンプ」になった。今年は,書類選考で選ばれた中学生から大学生までの61名が参加した。 このキャンプの大きな特徴は,講師全員が第一線で活躍する著
IPA ISEC セキュア・プログラミング講座:C/C++言語編 第10章 著名な脆弱性対策:バッファオーバーフロー: #4 あふれを検出するデバッグ
第10章 著名な脆弱性対策 バッファオーバーフロー: #4 あふれを検出するデバッグ 領域あふれの問題の検出については、ロジックが複雑に入り組んでいる場合、ソースコードから見いだすのは容易でない。そのような場合、デバッガ等のツールの下で対象のプログラムを動かして、問題を見つけ出すことになる。 スタックおよびヒープにおけるあふれを検出するためのコンパイラのオプションやデバッグ・ツールがいくつか存在する。 次にその主なものを紹介する。 あふれの検出等に使うことのできるデバッグ・ツール ヒープにおける領域あふれやダブルフリー等の問題を検出できるツールをふたつ紹介する。ひとつは独立したツール、もうひとつは統合開発環境の中の機能である。 (1) Valgrind [GNU/Linux] ヒープデバッガを中心とした GNU/Linux 専用のツールスイートである。割当領域外への書き込みや、メモリリーク
セキュリティ & プログラミングキャンプ・キャラバン 2008 京都: Days on the Moon
セキュリティ & プログラミングキャンプ・キャラバン 2008 京都に行ってきました。セキュリティ & プログラミングキャンプとは、IT 分野において優秀な若者の発掘・育成を目的として、22 歳以下の学生を対象に毎年夏に行われている合宿 (参加費無料) です。中学生の参加者もおり、普段はなかなかできないコンピュータの話題で盛り上がるそうです。 キャラバンはキャンプの紹介のためのイベントで、プログラミングとセキュリティに関する講義や昨年のキャンプの様子の公開などがありました。詳しい内容については「セキュリティ&プログラミングキャンプキャラバン2008 レポート - y_tsuda's blog - s21g」やそこからとだれるページ、はてなブックマークで「caravan2008」タグをつけられたページなどを参照してください。 個人的に印象に残ったのは、「セキュリティ & プログラミングキャン
セキュリティ&プログラミングキャンプキャラバン京都2008に行ってみた - てっく煮ブログ
event2月7日の京大でやってた「セキュリティ&プログラミングキャンプキャラバン京都2008」に行ってみた。人が多くて(80人ぐらいだったらしい)盛り上がってました。志の高い学生さんみたいな人がいっぱいいて活気がありました。プログラミング基礎ミラクルリナックスの吉岡さん(id:hyoshiok)の入門心構え。「ソースコード読むチカラ」が重要ですよ、という話が印象的だった。同感。他人のソースを読んで理解して真似できるかどうかが決めてだと思います。私も読んでる時間のほうが長いなぁ。最後の質疑応答で「何を読めばいいか」といった質問があったけど、やっぱり数をこなすしかないところもある。色んなコード読んでるうちに、これはきれいだなー、とか、ほーそんなやり方が!といった驚きに出会える。いきなり Linux とか Apache とかのソースを読むのは荷が重過ぎるので、最初は自分の興味のあるジャンルの数
セキュリティ&プログラミングキャンプキャラバン2008 レポート - y_tsuda's blog - s21g
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 この記事は、セキュリティ&プログラミングキャンプキャラバン2008 - 京都 -の実況中継です。 リンクなどはイベント終了後に貼ってみました。 セキュリティ&プログラミング~~ -京都- 開始前準備 もっと早く行くつもりが盛大に寝坊。 先生、ごめんなさい。 メディアセンター南館は朝早いと鍵が開いていないので、鍵を開けるのと誘導するのが僕の仕事になりました。 ちょっとした裏話でした。 プログラミング基礎 - ミラクル・リナックス(株) 吉岡 弘隆 さま ブログ・日記 ユメのチカラ 未来のいつか/hyoshiokの日記 今日は、「プログラミングって楽しいよ!」というお話。 セキュリティ&プログラミングキャンプキャラバンとは 全国8か所 キャンプを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
