情報セキュリティ早期警戒パートナーシップにおいて修正がなされない場合の運用 | 水無月ばけらのえび日記
更新: 2024年3月8日15時10分頃 「続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか (d.hatena.ne.jp)」という話があるようですが、情報セキュリティ早期警戒パートナーシップに関する部分について少しメモしておきます。 通常であれば、IPAがガイドラインにて提示し報告を受け付ける脆弱性情報は、アプリケーション等の作者等に連絡され、相応の対応期間を経て対応が為されない場合は公開される。 「情報セキュリティ早期警戒パートナーシップガイドライン」では、取扱開始から45日後を公表の目安としています。では、45日を過ぎても修正されなかったらどうなるのでしょうか。普通に考えると「当然公開されるよね?」と思えるのですが、実はガイドラインにはその点は明記されていないのですね。 では、実際の運用ではどうなっているのかというと、期間が過ぎたので公開されたという例は見たこ
脆弱性届出の危険性と動機 | 水無月ばけらのえび日記
また、IPA が脆弱性関連情報を受け付けた場合でも、IPA は脆弱性関連情報の入手手段に関して合法であると判断したわけではありません。さらに、IPAが脆弱性関連情報を受け付けた場合、発見者の脆弱性関連情報の発見に係る法的責任が免責されるわけではありません。 以上、情報セキュリティ早期警戒パートナーシップガイドライン より これで「逮捕されないから大丈夫、届け出ましょう」というのは、かなり言いにくいところでしょう。 ※そもそも件の丸見え系が不正アクセス禁止法違反というのはありえない、と言いたいところではあるのですが……。警察は転び公妨なんかを問題と思っていないのかもしれませんが、実はこういうところに濃い影を落としていると思うのですよね。 ……が、参考情報として。 私は情報セキュリティ早期警戒パートナーシップの制度を利用してWebサイトの脆弱性を300件以上届け出ているのですが、今のところ逮捕
怪談: SQLインジェクションの恐怖 | 水無月ばけらのえび日記
ところが、同じチェックシートの『チェック3「内部データをのぞき見されているかもしれない」チェック』は、益は少しあるかもしれないが、それ以上に予期しないトラブル、具体的にはデータベースの破壊を招きかねないという点で、けっして「かんたん」というものではない。 (~中略~) SQLインジェクションの検査は、専門家がやっても時としてデータベースを破壊しかねないものであるので、診断に先立って必ず免責事項を取り交わす。そのような危険を伴う診断行為を一般ユーザに試させるのであれば、まずは安全第一の検査パターンを紹介した上で、診断に伴う危険性を十分に告知することが検査会社としての責務であると考える。 これ、個人的に恐怖体験があります。 「JVN#92832583 Advance-Flow におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」というのがありますが、私がこれを発見したとき、同時にS
ITproのセキュリティ検定がヤバイ | 水無月ばけらのえび日記
更新: 2008年11月7日1時55分頃 こんなのがあったのですね。「ITpro EXPO検定---全11分野で,あなたのIT理解度はいかに? (itpro.nikkeibp.co.jp)」。 セキュリティ検定の解説もあったので見てみましたが、超難問が3問ほどあったので、独自に解説してみます。 Webブラウザを狙うクロスサイト・スクリプティングは,どのような問題点によって起こるでしょうか。 A) クライアントOSの弱点(ぜい弱性) B) Webブラウザを使うユーザーの油断 C) Webブラウザの弱点(ぜい弱性) D) Webサーバーの弱点(ぜい弱性) 以上、セキュリティ検定の解説【問題2】 より 「WebサーバやWebブラウザにもクロスサイトスクリプティング脆弱性がある」という知識を問う問題ですね。XSSというと普通はWebアプリケーションの問題ですが、WebブラウザやWebサーバに問題が
届出状況2008Q2 | 水無月ばけらのえび日記
図7に示すように、2008年第3四半期はDNS情報の設定不備の届出件数が突出して激増しました。これは、DNS(Domain Name System)キャッシュポイズニングの脆弱性に関して、「実際に運用中のウェブサイトのDNSサーバに、対策を実施していないのではないか?」という旨の届出が激増したためです。 えー、これって、公表済みの脆弱性が対策されずに放置されているケースですよね。そういうのは取扱い対象じゃないって言われたことがあるような気がするのですが。 メールを発掘してみるとこんな感じ。 ウェブサイトにて使用しているソフトウエアの問題の場合は、ソフトウエア製品の脆弱性として取扱わせていただいております。ただし、本件においては、当該ソフトウエアの脆弱性は既に公開されているため、取扱い対象外と判断いたしました。 これは、とあるセキュリティ系の会社で使われていた Movable Type が古
楽天メールマガジン情報漏洩の話・続き | 水無月ばけらのえび日記
更新: 2008年10月1日 楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。 楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。 (~中略~) 私は、毎日ここで一発で「配信停止」をしています。 http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi... 以上、楽天市場について -OKWave より イタタタタ……。 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す
楽天メールマガジンの変更画面から情報漏洩 | 水無月ばけらのえび日記
更新: 2008年10月1日 セキュリティホールmemoより: site:emagazine.rakuten.co.jp で検索すると個人情報っぽいものが見えるとか見えないとか。 (www.st.ryukoku.ac.jp) メールマガジンの設定変更の画面が第三者に見えてしまう、という話のようで。まとめると、 設定変更画面のURLは、ユーザごとにユニークなIDを含むものになっているユニークIDは複雑で、他人の変更画面のURLは簡単には推測できない (……と思うのですが未確認)が、そのURLさえ分かってしまえば、GETリクエスト一発で認証もなしに変更画面にアクセスできてしまうアクセスすると、現在の設定情報 (氏名、メールアドレスなど) が見えてしまうそして何故か、そのURLをGoogleやWindows Live Searchがクロールしており、検索でヒットして残念なことに…………ということ
Yahoo!ブログの脆弱性が修正された | 水無月ばけらのえび日記
届け出ていたYahoo!ブログ (blogs.yahoo.co.jp)のXSS脆弱性が修正されたようなので、「Firefoxではembedのsrcに書かれたスクリプトが動作する」というお話で伏せていた部分を公開しました。 Yahoo!ブログでは他のユーザとドメインを共用していますし、管理画面も同じドメインですので、ブログでスクリプトが動作するとあまり良くないことが起こります。そして、独自のWiki記法で img 要素や embed 要素を書けるのですが、 [[img(javascript:alert(document.cookie))]] [[item(javascript:alert(document.cookie))]]
128ビットカエサル暗号 | 水無月ばけらのえび日記
会社で Google Chrome をいろいろ見ていたのですが、HTTPSなサイトで情報を見ると……。 いや……単に128ビットとだけ言われてもなぁ。同じ128ビットでも、AESとRC4ではだいぶ違う気がするし……などと社内で話していたら、「ひょっとしたら128ビットカエサル暗号かもしれない」という話が。 カエサル暗号というのはローマ時代の暗号で、HELLO → IFMMP のように文字を前後にずらして暗号文を作るものです。この暗号における鍵とは、「何文字目の文字を何文字ずらすか」という情報になるでしょう。鍵が 12345 なら HELLO → IGOPT となるわけです。 ……これをバイナリに適用すると、バイナリデータの各ビットについてシフトする・しないを記したものが鍵ということになるでしょう。要は、鍵とデータとのXORをとるだけということですね。データの方が長い場合は (たいてい長いと
第01回まっちゃ445勉強会: ライトニングトーク | 水無月ばけらのえび日記
ついカッとなって第01回まっちゃ445勉強会 (sites.google.com)に参加してみました。 まずは午前中のライトニングトークについて、ぱらぱらとメモ。ただし、ディスカッションの内容は非公開ということになっていますので、質疑応答の内容は記載していません。 あまり知られていないXSS攻撃のバリエーション ~XSS脆弱性に対しXHRを用いた攻撃hnwさん (d.hatena.ne.jp)によるお話。 XSSの脅威として、よく「ターゲットのドメイン上で任意のスクリプトが実行できる」ということが言われます。その「任意のスクリプト」の一例として、ターゲットのサイト上で XMLHttpRequest を実行するというパターンのご紹介。 JavaScriptでダミーのページ遷移を実装し、XMLHttpRequest でターゲットの本物サイトから本物のページを読み込んで、アンカーとログインフォー
とある改竄報告ページにあった脆弱性の話 | 水無月ばけらのえび日記
更新: 2008年7月30日 少し前、トレンドマイクロのサイトが改竄された (www.itmedia.co.jp)という話がありましたが、トレンドマイクロのサイトには「弊社ウイルス情報ページの改ざんについて」というお知らせが掲載されていました。 それを見ていたら、ふとページの右上に検索フォームが存在するのに気づいたのですが、その検索フォームにXSSがあってズッコケたので届け出ていたのでした。 そして今日、IPAの方からこんなメールが。 トレンドマイクロの件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。 有名サイトですし、改竄報告ページが脆弱というのは面白いので日記に書こうかなと思い、念のため確認してみたわけです。 するとこれが、入力された文字列からタグ部分だけ消去するという、典型的なダメ回避策なわけですよ。そし
IE7でコンテント・ネゴシエーションが残念なことになる件 | 水無月ばけらのえび日記
Accept-Language によるコンテント・ネゴシエーションが IE7 でうまく動作しないらしいというお話があり、いろいろ調査。 問題を簡潔にまとめると、「IE7で複数の言語を設定している場合に、その設定の順位が無視されているように見える」という感じ。たとえば、コンテンツ側で日本語と英語を用意しているとき、以下のような動作になります。 言語設定何も無し……英語コンテンツが返ってくる英語のみ設定……英語コンテンツが返ってくる日本語のみ設定……日本語コンテンツが返ってくる英語、日本語の順で2言語を設定……英語コンテンツが返ってくる日本語、英語の順で2言語を設定……英語コンテンツが返ってくる (順番が無視されている!)日本語、英語の順で設定したら日本語を返してほしいのに、何故か英語が返って来るという。 この原因は、「IEBlog : Accept-Language Header for I
ハッカーセーフのサイトの脆弱性が修正された | 水無月ばけらのえび日記
IPA セキュリティセンターです。 HACKER SAFE の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。 HACKER SAFE(ハッカーセーフ)無料脆弱性診断(お試しスキャン) (www.hackersafe.jp)のページからリンクをたどると申し込みフォームが表示されるのですが、そのURL は以下のようなものになっています。 https://ssl.sct.co.jp/servlet/XS3/hxml/contact/check1.hxmlその筋の人(?)なら ".hxml" って何だろう? と思い、何となく拡張子を消してみたりするかもしれません。私がこのページを見ていたのはWASForum Conference 2008の2日前ですから7月2日のことなのですが、当時は以下のようなメッセージが表示され
WASForum Conference 2008: パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」 | 水無月ばけらのえび日記
1日目の最後のセッションはパネルディスカッション。あまり網羅的にメモできていないので、やりとりの一部のみの抜粋という感じになっています。 ※実はPCのバッテリがピンチでメモ回数をセーブしたため、ほとんどメモしていませんでした……。orz ちなみにパネリストは、サイオステクノロジーの山崎靖之氏、サウンドハウスの中島尚彦社長、ライフネット生命保険の中川達彦氏、奈良先端科学技術大学院大学の門林雄基氏、そしておなじみ、産総研の高木浩光氏。以下のメモでは発言者名の敬称は略させていただいています。 Webを活用したビジネスでの心構えとは?中島お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう 高木今まで2回くらい出てはいるのですが……。 2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
届出状況2008Q4 | 水無月ばけらのえび日記
ケツハラ | 水無月ばけらのえび日記
特定のユーザースタイルシートを…… | 水無月ばけらのえび日記
JVNのクレジットに英語表記も併記しては? | 水無月ばけらのえび日記
書籍の脆弱性シリーズ? | 水無月ばけらのえび日記
「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」へのコメント | 水無月ばけらのえび日記