会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-08-10 09:04 Microsoftのセキュリティ研究者が、暗号の仕組みを壊すことなくHTTPSのエンド・ツー・エンドの安全性の保証を破る方法を発見した。 今年まとめられた研究プロジェクトの中で、Microsoft Researchの研究チームが、HTTP/HTTPSの上位にある表示モジュールを標的にすることで、悪意のある中間者によって悪用することが可能な脆弱性を発見した。 研究チームの説明では、問題の骨子は以下の通りだ。 攻撃者がブラウザのトラフィックを傍受できる多くの現実にあるネットワーク環境では、攻撃者がHTTPSサーバからの秘密データを盗むこと、HTTPSのページを偽造すること、認証されたユーザーを装ってHTTPSサーバーにアクセスすることが可能である。これらの脆弱性は、
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 Black Hat USA 2009でDan Kaminskyがタイトルはよくわかんないんだけど、SSLサーバー証明書関連で講演してちょっと話題になっているそうだ。 最初読んだときは(MD2やMD5の証明書の問題とからめて本人も混乱してるんじゃん?と思うような記事を書いちゃうひとに騙されて)攻撃方法がよくわかんなかったので、釈然としないままでいたんだけど、わかった〜〜〜と思ってブログに書こうかなぁと思いつつも、忙しくて時間がとれなくて、もうFireFoxから修正(3.5.2)が出ていた。 今流れている文章も誰のどこが悪いのか歯切れの悪い文章が多いために、すっきりしないので、ちょっと整理しようと思う。 NULL証明書攻撃 SSLサーバー証明書は
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
Mac版Safariはコンテスト開始後数分で侵入され、IE 8、Firefoxも初日のうちにハッキングされた。 カナダのバンクーバーで3月18~20日に開催されたハッキングコンテストPwn2Own 2009で、参加者らはGoogleのChrome以外の主要Webブラウザすべてのハッキングに成功した。このコンテストはカナダのセキュリティ企業dragostech.comが2007年から毎年開催しているもので、今年はWebブラウザと携帯端末のセキュリティ侵入のテクニックが競われた。 ターゲットとなったWebブラウザは、Windows 7搭載のソニーのVAIOにインストールされたInternet Explorer(IE)8、Firefox、Chromeと、Mac OS X搭載のMacBookにインストールされたSafariとFirefox。Webブラウザの脆弱性を突くコード(エクスプロイトコード)
SitePoint: New Articles, Fresh Thinking for Web Developers and Designers 既報のとおり、IE6のシェアは純減を続けている。2009年2月のNet Applications調査によればIE6のシェアはFirefox 3に抜かれて3位に落ちた。今後も下落の傾向は続くとみる向きが多い。しかし、依然として19%を越えるシェアはその次のシェアを獲得している4.5%弱のSafari 3.2を大きく上回る。IE8のリリースが控えている状況ではあるが、WebデベロッパやWebデザイナは依然としてIE6対応を継続しなければならない。 IE6固有の問題を回避する方法はいくつもあるが、それらテクニックをまとめたドキュメントがSitePoint: 10 Fixes That Solve IE6 Problemsとして公開されたので注目しておき
JPCERT-ED-2009-0001 JPCERT/CC 技術メモ - クリックジャッキング対策 ~ X-FRAME-OPTIONS について ~ 第二版:2009-03-04 (Ver. 2.0) 初 版:2009-03-03 (Ver. 1.0) 執筆者:常見 敦史、小宮山 功一朗 本文書の掲載 URL:http://www.jpcert.or.jp/ed/2009/ed090001.pdf 本文書は、Web サイト制作者及び運営者を対象に、クリックジャッキング攻撃の概要とその対策の一 つとして X-FRAME-OPTIONS の概要、記述方法、設定値による挙動の違いについて解説します。 Copyright © 2009 JPCERT/CC All Rights Reserved. -2- 改訂履歴 変更内容 日付 初版 2009 年 3 月 3 日 二版 章番号を追加しました。
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
No active screenshot factories. Please try again later. What is Browsershots? Browsershots makes screenshots of your web design in different operating systems and browsers. It is a free open-source online web application providing developers a convenient way to test their website's browser compatibility in one place. When you submit your web address, it will be added to the job queue. A number of
On this page I used to describe ways and means of setting up multiple versions of Internet Explorer on your computer. Meanwhile my information has been superseded by new developments. Manfred Staudinger explains how to work around several of the problems noted below, while Tredosoft created a convenient installer for IE3-6. This page will not be maintained any more. Start of outdated content. A ma
MacIE5 の ※ のところは特殊で、なんと毎回 If-Modified-Sinceなしリクエスト(200が返る)。いつもながら、想像を裏切る反応です。 Expires 0 だと良さそうなのですが、Safariが理解してくれません。 というわけで、2回目のアクセスもサーバーのログに残したいよ、という場合は、 <Location /hoge> Header Add Expires "Thu, 01 Jan 1970 00:00:00 GMT" </Location> みたくしておくとよさそうです。 これ、はげしく BK な気が。補足情報を知っている人がいたら教えてください。 追記)RFCには...? コメントでRFCのことが出てきたので追記 Expiresヘッダについては、RFC2616 HTTP/1.1 の Header Field Definitions あたりでしょうか。 htt
Mozilla Firefox Thunderbird の拡張あれこれ - MEMO Permanent Links(2006年10月-3) ■(10/22c) 拡張の対応バージョン もじかけら 「T-shirt Update and Firefox 2 Add-ons Compatibility」2006-10-21 の記事は Firefox 2.0 に拡張を対応させよという Mozilla からの通達を紹介しています.2.0 対応:530、1.5 まで:701、2.0 Beta まで:58、1.0 まで:442とのこと.530 + 701 + 58 + 442 = 1731 個の拡張が Mozilla Add-ons にはあるということですね.1.0 までにしか対応していないものは削除だそうです.そんなむごい、バージョンの問題だけで対応していないものもあるはずなのに. バージョンは
思った JavaScript はすぐに実行してみましょう! ブラウザの URL 入力欄に javascript:(function() { /*実行したいコードを書く*/ })()FireBug を使ってる人は、コンソール開いて実行したいコードを書く。 たとえばこんなことができます。 これらの例は僕が日頃使っているものです。 グローバルで使える関数を列挙する(Firefox Only) FireBug用 for(var n in window) if(typeof window[n]=='function')console.log(n); URL用 javascript:(function(){var b='';for(var n in window)if(typeof window[n]=='function')b+=n+"\n";alert(b)})() Object.prototyp
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く