クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される
日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合に対策が回避されることに気がつきました。 それでは、どのような対策が望ましいかを考えてみると、中々難しい問題です。以下、その内容について検討します。 解決すべき課題の整理 記事の趣旨は、昨年無実の市民のパソコンからCSRFによる犯行予告が横浜市のサイトに書き込まれたことを受けて、サイト側でCSRF対策をして、なりすまし書き込みができないようにしようというものです。なりすましの犯行予告には、CSRFのほか、マルウェアを用いる方法、CSRF以外のWebサイトへの攻撃手法もあるので、CSRF対策だけで十分と
パスワードの入力さえ不要なWebブラウザ用公開鍵認証技術·TrustAuth MOONGIFT
TrustAuthはWebサイトにおける公開鍵を使った認証システムです。 Webサイトを使う際の認証と言えばログインIDとパスワードを使ったものと相場が決まっています。問題があるシステムとは分かっていつつも未だにいい解決策が出てきていません。そこで新しい認証システムとしてTrustAuthを紹介します。 Firefoxアドオンをインストールします。 アドオンの設定です。特に変更することはありません。 こちらはデモサイトです。 ツールバーにビールのアイコンがあります。なぜかデフォルトでは表示されずツールバーのカスタマイズで追加しました。 Unlockを選んで最初にマスターパスワードを決めます。 後はパスワード無用です。demoとユーザIDを指定すればログインできます。 無事ログインできました! TrustAuthでは公開鍵を使って認証を行います。サーバサイド、クライアントサイドの双方で用意し
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。 その場で、malaさんが「Eve
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130207/2.html
Google、自分の情報がウェブに公開されたことを通知する「Me on the Web」 
