yebo blog: 強いWebパスワードはそれほど必要ではない?
2009/07/14 強いWebパスワードはそれほど必要ではない? シュナイアーがブログ Schneier on Security でHotSec '07での論文 "Do Strong Web Passwords Accomplish Anything?" を話題にしている。論文では、ユーザに与えられる伝統的なパスワード情報は時代遅れであることが分かったとのこと。強いパスワードはフィッシング詐欺やキーロギングなどを使ったパスワードを盗む攻撃からユーザを保護することはできない上に、ユーザにはかなりの負担が掛かってしまう。もちろん、弱過ぎるパスワードはブルートフォース攻撃で破られてしまう。しかしながら、比較的弱いパスワード(約20ビット)がスリーストライクのルール (例えば3回間違えるとアカウントがロックする)がある限り、一つのアカウントに対してブルートフォース攻撃で破るのは非現実であることが
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
mod_securityでWebサーバを守る(第1回)
一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。 ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。 しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは
個人が、銀行の口座番号と名義(個人名)を知られた場合、 悪用される可能性としてはどのようなものが考えられますか?…
個人が、銀行の口座番号と名義(個人名)を知られた場合、 悪用される可能性としてはどのようなものが考えられますか?
Random Things » stunnel for mysql – server and client
We needed to set up an stunnel to the mysql server (mysql.example.com), so that the client (client.example.com) and the server can communicate over an encrypted tunnel. Stunnel was already installed on both linux machines – it is avaialble from http://stunnel.org. The steps taken on mysql.example.com were: cd /etc/stunnel Create a certificate: openssl req -x509 -nodes -days 365 -newkey rsa:1024 \
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
AS で別ドメインの画像を読み込むときの注意点 - てっく煮ブログ
asActionScript を使って 外部ドメインの画像を読み込むときの注意点を調べてみた。AS3 で調べたけど、AS2 でもセキュリティの機構自体は同じ(だと思う)。読み込み方Loader クラスを使えば外部ドメインの画像をロードできる。 var loader:Loader = new Loader(); var req:URLRequest = new URLRequest("http://www.example.com/sample.gif"); loader.load(req); addChild(loader); 画像形式は PNG、GIF、JPEG のみ。BMP はダメ。アニメーション GIF の場合は1フレーム目しか描画されない。読み込み完了したことを知るためには、contentLoaderInfo プロパティの complete イベントを監視すればよい。ファイルが存在し
Microsoftの無料マルウエア対策ソフト「Morror」ベータ版が本日公開
米Microsoftは2009年6月23日(米国時間),新たなセキュリティ・ソフトウエア「Microsoft Security Essentials(MSE)」(開発コード名「Morror」)のベータ版を米国,イスラエル,ブラジルで限定公開する。MSEは,「Windows 7」「Windows Vista」「Windows XP」用のマルウエア対策アドオンであり,最終版は2009年中に全世界向けに無償提供される。 同社マルウエア対策担当ジェネラル・マネージャであるAlan Packer氏は6月初めのミーティングで,「MSEは信頼できるセキュリティだ。高い評価を受けているマルウエア対策技術を採用し,ユーザーをリアルタイムに保護する。入手/使用は簡単であり,当社が正規版Windowsの全ユーザーに直接無料で提供する」と述べた。 MSEは,同社の「Forefront」「Hotmail」といったほ
Firefoxからsshのダイナミック転送を使って非公開サーバへアクセスする - 射撃しつつ前転 改
sshにはダイナミック転送という機能がある。この機能を使うと、sshはアプリケーション側にはSOCKSプロクシとして振る舞うが、そこからsshの接続先までは暗号化された状態で通信が行われる。 これだけだと通常のトンネリングとどう違うのかよくわからないかもしれないが、ダイナミック転送の場合は転送ポートを指定する必要がない。ここがダイナミックと表現される所以だろう。 例えば、オフィスAにある開発サーバdev1にオフィス外からアクセスしたいとする。しかし、dev1はオフィス外には公開されておらず、踏み台サーバladd1を経由してしかアクセスするしかない。ladd1はsshのみが動いており、これまではsshのトンネリング機能を使ってアクセスしてきたのだが、ウェブアプリケーションをデバッグする際はいちいちウェブアプリケーションのポート毎にトンネルを掘るのが面倒くさい。オフィスに限らずデータセンターへ
「EV SSL証明書の発行数が1万件超,市場シェアは74%に」とVeriSign
米VeriSignは米国時間2009年6月18日,同社によるEV SSL(Extended Validation Security Socket Layer)用デジタル証明書の発行数が1万件を超えたと発表した。同社によれば,全世界でEV SSL証明書を導入しているWebサイトの数は1万3000超で,同社の市場シェアは74%になるという(関連記事:「EV SSL」導入サイト,1万件超に急増)。 EV SSLとは,一般的なサーバー証明書(サーバー用電子証明書)よりも厳格な審査によって発行されたサーバー証明書を利用するSSLのこと。EV SSLに対応したWebブラウザで,EV SSL証明書取得済みのWebサイトにアクセスすると,アドレス・バーが緑色に表示されるなどして,通常のSSLサイトとは異なることが分かるようになっている。 一般のSSL証明書より信頼性が高いとみなされるため,ECサイトなどで
ランサムウェア(身代金要求型不正プログラム)のアプローチ手法 | トレンドマイクロ セキュリティブログ
ランサムウェアが近年、注目を浴びてきている。ランサムウェアとは一般に、感染するとユーザのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける、いわば身代金要求型不正プログラムである(ランサム = 身代金)。近ごろは、これに偽セキュリティソフトを絡めた多重アプローチが見られるようになり、より手の込んだ不正活動が目立つようになってきた。 今回は、ランサムウェアとしての代表的な動作であり、今年に入り確認された「TROJ_FAKEALE.BG」を例に、その全体像をご紹介する。 「TROJ_FAKEALE.BG」はまず、Web上もしくはほかの不正プログラムから侵入するが、この時、「TROJ_FAKEALE.BG」は「DLL」という形でやってくる。 このDLL(TROJ_FAKEALE.BG)は、最初の不正活動となる暗号化を行うプログラムであり、ユーザのファ
7月は「Twitterバグ月間」、Web 2.0の安全を考えるきっかけに
セキュリティ研究者が7月を「Twitterバグ月間」(MoTB)と定め、サードパーティーが提供するTwitterサービスの新たな脆弱性について、毎日1件ずつ情報を公開すると宣言した。 プロジェクトを計画しているのは、2006年7月に実施された「ブラウザバグ月間」にもかかわった研究者のアビブ・ラフ氏。「ブラウザバグ月間は大きな成功を収め、そのおかげでメーカー各社が自社製品のセキュリティ問題に一層注意を払うようになった」と主張し、これにあやかってTwitterバグ月間の実施を思いついたとしている。 Twitterサービスの脆弱性情報は「twitpwn.com」のサイトで公開する予定。脆弱性を悪用されればTwitterワームの作成も可能になるため、対象となるサードパーティープロバイダーとTwitterには、一般公開の少なくとも24時間前に情報を提供するとしている。 これによってTwitterのA
サン・マイクロシステムズ
日本のオラクル・コミュニティが一堂に会するプレミア・イベントにぜひご参加ください。新しいスキルを身に付け、業界エキスパートと交流し、複雑なビジネス課題を解決するためのソリューションを発見しましょう。
Adobe,最初の定例アップデートは重要度「緊急」含む13件の脆弱性を修正
米Adobe Systemsは,「Adobe Reader」と「Acrobat」のアップデートを米国時間2009年6月9日に公開した。同社がパッチ公開を定例化すると発表してから初めてとなる今回は,13件の脆弱性に対処した。重要度「critical(緊急)」であるとして,パッチを適用するようユーザーに呼びかけている。 影響を受けるのは,Adobe ReaderとAcrobat(Standard/Pro/Pro Extended)ともに「9.1.1」以前のバージョン。アプリケーションのクラッシュを引き起こし,攻撃者にシステムを制御されてしまう可能性のある脆弱性があった。 パッチの適用により,コードの実行やDoS(サービス妨害)攻撃につながるおそれのあるJBIG2フィルタのセキュリティ・ホールをはじめ,コード実行を許可する危険性のあるスタック・オーバーフローの脆弱性などを解消する。また,社内で見
エールフランス機消息事故を検索すると偽セキュリティソフト配布サイトへ誘導 |
フランスの通信社 AFP通信(AFP:Agence France-Presse)は6月1日、「エールフランス機、ブラジル沖で消息絶つ 乗員乗客228人が搭乗」のニュースを配信しています。 トレンドマイクロでは、事故発生直後よりインターネットの動向監視を強化してきました。その結果、航空機墜落事故に関するニュースの検索により、1万件以上の不正なリンクが表示されることを確認しています。また、これら不正リンクの一部には、リンクのクリックによりリダイレクトが行われ、偽セキュリティソフト、スケアウェア(scareware)の自動インストールが発生する場合があります。 注目度の高い時事問題の発生は、インターネット検索エンジンにおける関連用語の検索頻度が高まります。今回も例外ではありません。「Google Trend」によれば、ニュース配信直後より「air france」による検索数が飛躍的に伸びているこ
Twitter,なりすまし防止のアカウント認証を今夏から試験提供
ミニブログ・サービス「Twitter」を運営する米Twitterは米国時間2009年6月6日,他人になりすましたアカウント取得を防止する機能「Verified Accounts」の導入を発表した。ベータ版の試験提供を今夏に開始する。 まず公共機関や著名人を対象にアカウントが本人のものであるかどうかを確認し,確認できたアカウントには,「認証シール」(写真)を付ける。将来的には,確認作業の対象アカウントを広げる予定だが,当初は対象数を絞って実施する。 ただし,同社は「認証シールがないからといって,偽者だということではない」と忠告している。また,認証シール以外の確認手段として,「そのユーザーの公式サイトで,Twitterへのリンクがついているかどうかチェックすること」も勧めている。 Twitterは,米メジャーリーグ球団,セントルイス・カーディナルスの監督Tony La Russa氏が,何者かが
アカウントハッキングに関するお知らせ - オンラインゲームポータルの新しい形 エムゲーム! - 永久無料でRPG・ライトゲームが遊び放題!
いつもご愛顧いただきありがとうございます。 エムゲームです。 エムゲームジャパンの運営するゲームタイトル『KNIGHT ONLINE Xross』 『ルナティア』『英雄』において発生いたしましたアカウントハッキングに 関する対応と経過をお知らせいたします。 このたびは多くのお客様に多大なご迷惑をおかけいたしましたこと、 また、この問題についてのご報告が遅くなってしまいましたこと、 深くお詫び申し上げます。まことに申し訳ございません。 ■経過と原因調査について 2009年4月初頭よりお客様から複数のハッキング被害のご報告が寄せられた ため調査を行ったところ、当該アカウントに不正アクセスと思われる接続 記録を確認いたしました。 このため、原因究明のための調査を行わせていただいたところ、弊社公式 サイトの一部にXSSコード上の脆弱性が確認されました。 この脆弱性を利用することで、通常の手順を経ず
ミニ・ブログ「Twitter」で発生中の問題
ミニ・ブログ・サービス「Twitter」の管理者たちは,2009年4月第2週の週末にTwitterで大発生したクロスサイト・スクリプティング(XSS)/クロスサイト・リクエスト・フォージェリ(CSRF)ワームをなかなか退治できなかったらしい。 エンドユーザーの被る実害は,それほど大きくなかった。このTwitterワームのほとんどが,ユーザーのプロファイルを改変して感染者を増やそうとするだけだったからだ。 しかしこの種の攻撃は,攻撃者がWebブラウザのエクスプロイトなど,悪質性の高い手段を使うと,よりひどい状況になりかねない。攻撃の実行者は「Mikey」または「Mikeyy」で,Webサイト「Stalkdaily」を運営している人物とみられる。StalkdailyはTwitterと競合するサービスであり,攻撃のそもそもの目的はTwitterからユーザーを「盗んで」自分たちのサービスに登録させ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Code Archive - Long-term storage for Google Code Project Hosting.
not found