セキュリティコラムばかり書いている PRISONER LANGLEY のブログ
セキュリティコラムやヘタマンガを書いている PRISONER LANGLEY のブログ セキュリティコラムやヘタマンガを書いている PRISONER LANGLEY のブログです。コラムや日々雑感などを書いています。 先日、個人情報漏えいと脆弱性情報について、誰か受け取って欲しいということを書いたところ、さまざまな方からコメントをいただきました。「私が受け取ります。まかせてください」という方には、個別に連絡させていただいております。 それとは別に「IPAに届け出するとよいです」「jpcert/ccに届け出るといいです」といったアドバイスを複数いただきました。アドバイスはありがたいのですが、IPAとjpcert/ccに届けを出さないというか、出せないので、ここでその事情を書いておきたいと思います。 ・この2つの組織は、不正アクセス禁止法に抵触する可能性を問題のサイトが指摘してきた場合、通報者
脆弱性のユーザ自衛について思うこと
システムの利用者がシステムを使うにあたり、基本的な脆弱性がないかを調べる(+見つけたらサイト管理者に報告)という行為、はたして良いことなのか悪いことなのか? 「それは犯罪行為だ!!」、「気になるならチェックすれば?」、「絶対チェックするべきだ!」、といろんな意見があるかと思うけど、私は「利用者にもチェックする権利」はあるんじゃないかと思う。 具体的に何をしたか?、悪意があったのか?のポイントでもちろん犯罪にもなると思うけど、悪意なしでのチェック(データ書き換えたり人のデータを見たりなどをしない)+すぐに管理者への報告を行えば、悪意が無かったことは簡単に証明される(できる)と思うし、チェックをする行為は問題ないんじゃないかとやっぱり思ってしまう。 ちょっと話が変わるけれど… 以前会社で、メーリングリストを社外のASPを利用するか、社内に構築するかという話になり、 その時に「社外の管理で
脆弱性の発見と報告とIPA
なんとなーく、脆弱性を見つける→IPAへ報告というのが一般的なのかと、何を見たわけでもなく思ってる自分がいて、報告をしたりもした。 報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。 でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい(やめてください)」といった旨の返事がくる。 私も割と大きめなWEBサービスの開発運営に関わっているのでこれは間違い無いと思うけれど、普通に使ってて、たまたま脆弱性が見つかるなんて結構稀なパターンじゃないかと思う。(もちろん無いわけではない) 通常、普通に使っててたまたま見つかるような部分はテストされてるからね。 となると、脆弱性は普通ではやらないような部分とかに残ってる。 自分が利用してるor利用しようと思ったWEBサービスに、致命的な脆弱性があると嫌なの
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
はまちちゃんとこに IPA からよくわからないメールが届いた件: 国民宿舎はらぺこ 大浴場
IPAたんからお礼が! (ぼくはまちちゃん!(Hatena) さま) ??? なんか、お礼のメールが来たみたいだけど、これってよーするに「受理しました」ってことなの? それとも「受理はしてない (だから仕事はしない) けど、とりあえずお礼のメールだけ返してうやむやにしておきます」ってこと? おいら、じぇんじぇんわかりましぇん >< 。 受理された脆弱性はその概要がここに表示されるらしい (Tue Feb 6 10:43:43 JST 2007 追記: Web サイトの脆弱性はここに表示されるわけではないっぽいです。謹んで訂正) んだけど、はまちちゃんとこにきたメールに書かれてるような書式の ID は見当たらないし、Yahoo! がどうこう、なんて記述も見当たらないし。。。 はまちちゃんが言いたいこともわかるけど (おいらも一部似たようなこと書いたし)、その気持ちが IPA たんには伝わりに
はまちちゃん vs IPA - ( ´ー`)y-~~ < ボクにも言わせて
久しぶりにはてなを見てたら、はまちちゃんとIPAが喧嘩してた! http://d.hatena.ne.jp/Hamachiya2/20070131/ipa3 何の事は無い、HIDDENの項目に script をpostするだけの一番お手軽XSS。 <input type="text" name="data[LectureReception][theme_id][18]" value='"> <script>alert("こんにちはこんにちは!!")</script>'>こんな脆弱性(?)が残ってるんだなぁ。 って言うか、以前にIPAが出していた資料で「HIDDENは使っちゃダメ!」って書いてあったのを見た事があるような。(笑 げっ。 勝手にトラックバック飛んじゃった。 こんな仕様だったっけ。^^;
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
aguse.jp
aguse.jp
Sage++(Higmmer's Edition)の脆弱性問題に思うこと