パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
Content-Languageでコンテント・ネゴシエーションを行うことができるのか? | 水無月ばけらのえび日記
更新: 2012年6月3日14時25分頃 ウェブアクセシビリティ基盤委員会 (waic.jp)のサイトには、「WCAG 2.0 実装方法集 (waic.jp)」という文書があります。これはTechniques for WCAG 2.0 (www.w3.org)を和訳したものです。 WCAG2.0の本体には、達成するべき基準が書かれているのですが、内容は抽象的で、具体的な実装方法までは書かれていません。たとえば、「利用者に提示されるすべての非テキストコンテンツには,同等の目的を果たす代替テキストを提供しなければならない」と規定されていても、それを具体的にどのような実装にすれば良いのかまでは書かれていません。それでは分からないので、具体的な実装方法は別のドキュメントにまとめられています。それがTechniques for WCAG2.0です。 このように文書が分けられている理由はいくつかありま
OWASP Japan 1st Chapter Meeting | 水無月ばけらのえび日記
公開: 2012年3月30日2時10分頃 「OWASP Japan 1st Chapter Meeting (www.owasp.org)」というイベントがあったので参加してみました。 以下、ざっくりしたメモを箇条書きに。 OWASP / OWASP Japanについて最初はOWASPとOWASP Japanの紹介。 OWASPは "The Open Web Application Security Project" ですが、最近はモバイルのセキュリティも扱っているというような話も。 5分でわかるCSPここからプレゼンテーション。各自持ち時間10分なのでライトニングトークに近いです。 一発目は、はせがわようすけさんの「5分でわかるCSP」。プレゼン資料が以下で公開されています。 http://utf-8.jp/public/20120327/owaspj-csp.pptx (utf-8.j
SVGをobject要素で活用する | 水無月ばけらのえび日記
更新: 2012年2月24日23時20分頃 SVGというものはずっと昔からありました。かつてはブラウザ側の対応がいまいちで、プラグインを入れたりしないと表示できなかったりもしており、あまり使われていませんでした。しかしIE9がSVGに対応したことで、かなり使えるようになってきた印象があります。最近では仕事でもガチでSVGを使うことが増えてきています。 SVGの特長のひとつは、ベクターグラフィックなので伸び縮みに強いという点です。サイズ可変の領域にうまい具合に背景を敷きたいときには便利です。そして、最近はサイトのコンテンツ全体がサイズ可変ということも増えてきました。というか元々可変ではあると思うのですが、Media Queries (www.w3.org)を使った派手な変更を伴うパターンが増えてきて、画像のサイズを大幅に変更したいケースが増えてきています。 写真などはJPEG画像を拡大・縮小
安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記
例えば,Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合,入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。 まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存
都道府県型JPドメインの衝撃 | 水無月ばけらのえび日記
公開: 2011年10月3日1時50分頃 JPRSが「都道府県型JPドメイン」なるものの導入を発表したことが話題に……「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定 (jprs.co.jp)」。 既に「地域型JPドメイン名」というものがあります。よく知られているのは地方公共団体が使用しているドメインでしょう。たとえば東京都は metro.tokyo.jp というドメインを使っていますし、港区はcity.minato.tokyo.jpを使っています (Webはどちらもwwwをつける必要があります。http://www.metro.tokyo.jp/ (www.metro.tokyo.jp)、http://www.city.minato.tokyo.jp (www.city.minato.tokyo.jp))。 しかし、実はこれだけではありません。あま
最近ありがちなHTTPSの罠 | 水無月ばけらのえび日記
公開: 2011年8月14日0時50分頃 こんな話が……「SSL サイトの大半に脆弱性が存在 (japan.internet.com)」。 Ristic 氏によると、Web アプリケーション レベルでは、不適切な実行によって SSL のセキュリティを無効にするものは数多く存在するという。今回の研究で、Ristic 氏は世界の人気の高い SSL セキュアサイト30万件を分析し、SSL に関連する脆弱性の有無を調べた。その結果、保護されていないクッキーを使用したり、保護されたトラフィックと保護されていないトラフィックを混在させたりといった脆弱性が複数見つかったという。 Cookieのsecure属性なしとか、HTTPSとHTTPが混在しているといった話のようで。いずれも、HTTPSを無意味にする Cookieの話は、日本では2003年から警告されている定番の話ですね。 経路のセキュリティと同時
続・徳丸本のあれこれ ストレッチング処理の変更 | 水無月ばけらのえび日記
更新: 2011年7月10日9時20分頃 徳丸本のあれこれを実践してみて気付いたことの続きです。 前回、ストレッチングの回数をどうするのかが難しいと書きました。負荷を心配しつつ1000回で実装してみたのですが、実際に動かしてみると処理が一瞬で終わってしまい、速すぎて心細く感じるほどでした。 アプリケーションの機能は一通り実装し終わり、テスト運用を始めたのですが、しばらく運用してみてもログインが遅いとか、それに伴って負荷が高くなるといったことは起きませんでした。 というわけで、もう少し遅くしてストレッチパワーをためた方が良いのではないかと考え、調整することにしました。 ハッシュアルゴリズムの変更まず、ハッシュアルゴリズムをSHA512に変更しました。徳丸本 (www.amazon.co.jp)ではSHA256が使われていますが、SHA512の方が遅く、生成されるハッシュ値も長くなります。遅い
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
ストレッチング採用の理由 | 水無月ばけらのえび日記
更新: 2011年5月30日10時50分頃 徳丸さんに誘われ、徳丸本 (www.amazon.co.jp)レビュアー中心に6名ほどで飲み食いしながら四方山話をしたり。 翌日に徳丸さんはこんなつぶやきをしておられますが、 同じく昨日の一言。「パスワードのストレッチングについては効果を疑問視する声もあったが、『教科書』にベストプラクティスとして載っている以上、最低限そこまではやるべきと主張して、徳丸本の通りに実装することにした」<こういう声は嬉しいですね 以上、http://twitter.com/ockeghem/status/73526372642988032 より これは私の発言ですね。せっかくなので、もう少し流れを補足しておきます。 サーバ側でパスワードを保存する際、パスワードそのものではなく、ハッシュ関数を通したハッシュ値を保存することが良く行われます。これによって、たとえDBの値が
端末の耐タンパ性とネットワークセキュリティ | 水無月ばけらのえび日記
SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。 (~中略~) これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。 これはちょっとわかりにくい記事だと思いました。 まず、普通の利用者が普通に利用する際に中間者攻撃が問題になることはないはずです。サーバ証明書を検証することによって中間者攻撃を防ぐ仕組みがありますので、普通の利用者は中間者攻撃を恐れる必要はありません (PS3 (www.amazon.co.jp)自体に脆弱性がなければの話ですが)。
コンテント・ネゴシエーションのわかりにくさ | 水無月ばけらのえび日記
公開: 2011年5月5日22時40分頃 本日、bAサイト (www.b-architects.com)を更新しました。コンテンツは全く変わっていないのですが、Accept-Languageによるコンテント・ネゴシエーションが行われなくなっています。 bAサイトは昔からコンテント・ネゴシエーションを実装していて、ブラウザのAccept-Languageがjaならば日本語のコンテンツを、enなら英語のコンテンツを、どちらでもなければ406 Not Acceptableを返すようになっていました。 その状態で10年ほど運用されてきたわけですが、しばしば以下のようなお問い合わせが。 日本語を使う人が海外からbAサイトを見ようとすると英語になってしまい、日本語のコンテンツを見る方法が分からない英語を使う人が国内からbAサイトを見ようとすると日本語になってしまい、英語のコンテンツを見る方法が分からな
IPAのせいでUNLHA32.DLLが開発停止、の誤解 | 水無月ばけらのえび日記
公開: 2010年6月11日0時55分頃 「UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける (slashdot.jp)」というお話が。ネタ元はUNLHA32.DLLの作者であるmiccoさんの日記のようですが……。 「『LZH 書庫なんて知らねぇ~よ』という態度」と解釈したのは, ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」, JVN / IPA については「『ZIP, CAB, 7z 書庫など, 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合:JVNVU#545953。) と何が異なるのか?』といった質問に対して未回答だった」, といった経緯からです。 以上、http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100
DPIは誰を幸せにするの? | 水無月ばけらのえび日記
この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは、昔ぷららのWinny規制の時に話題になっていますね。「ぷららのWinny遮断は是か非か(前編) (itpro.nikkeibp.co.jp)」を見ると、Winny規制の方法には3種類あるとされています。通信量だけで規制する総量規制、パケットの流れは見るが中身は見ないフロー・ステ−ト・コントロール。そして、パケットの中身まで解析してWinnyだと分かったものだけ規制するのがDPIです。 そこで登場するのが,(3)のディープ・パケット・インスペクションという手法だ。この方法は,通信パタ
TLDにAレコードが設定される | 水無月ばけらのえび日記
公開: 2010年4月24日22時55分頃 「http://to./が開けるしくみ (d.hatena.ne.jp)」。 http://to./ にアクセスを試みると、アクセスできてしまうというお話。なんと、TLD(トップレベルドメイン)そのものにAレコードが設定されているのですね。 ※http://to/ ではイントラネットのホスト名とみなされてしまいますが、http://to./ としてやればFQDNとして扱われます。ちなみに上記では問題なく解決できるように書かれていますが、実はMicrosoftのDNSキャッシュサーバではこの名前を解決できないようで、SERVFAILが返ってきてしまいます。 こうなってくると、やはり気になるのはCookie Monsterの問題です。domain=.to のCookieが発行できると、.toドメインのサイト全てに影響が出てくる可能性があります。 なん
漢は黙ってXSSフィルタ | 水無月ばけらのえび日記
公開: 2010年2月28日1時10分頃 とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。 「"><s>test」を入れて打ち消し線が出ることを確認する「"><script>alert(document.cookie)</script>」を入れてみる。IE8ではXSSフィルタで蹴られるが、ソース上に<script>が出ていることを確認する (「<script>」という文字列だけ消す、というような処理があるかどうか確認するため)実際にスクリプトが動作することを確認最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
DNS Rebinding | 鳩丸ぐろっさり (用語集)
用語「DNS Rebinding」についてDNS Rebinding (でぃーえぬえす りばいんでぃんぐ)話題 : セキュリティ DNS の情報を再読込させることで「同ドメインだが IP アドレスが違う」という状況を作り出し、same originポリシーを破ろうとする攻撃手法。攻撃者は有効なドメイン名をもち、その DNS サーバを管理している必要があります。 たとえば、攻撃者が bakera.jp ドメインを管理していて、218.219.246.132 という IP アドレスを持っていたとします。そして、以下のようにしておきます。 攻撃者は、自身の管理するDNSに、bakera.jp → 218.219.246.132 という情報を登録しておく。このとき、TTLの値を非常に短いものにしておき、情報がキャッシュされないようにしておく。攻撃者は、スクリプトを含む罠のWebページを http:
持続型XSS | 鳩丸ぐろっさり (用語集)
用語「持続型XSS」について持続型XSS (じぞくがたえっくすえすえす)話題 : セキュリティ クロスサイトスクリプティング脆弱性の中でも、特に、ターゲットのサイトにスクリプトが持続的に埋め込まれ、効果が永続するタイプのもの。一般的には "XSS type2" と呼ばれたりするようですが、数字で言われても分かりにくいので、このサイトでは「持続型」と呼ぶことにしています。"stored XSS" とも呼ばれるようです。 ユーザが入力した内容をサイトに表示する機能があり、その表示の処理に不具合がある場合にこの問題が発生します。反射型XSSと大きく異なるのは、サイトに訪れた全てのユーザに対してスクリプトが実行されるという点です。罠サイトや罠メールを経由する必要がなく、普通にサイトを訪れたユーザが被害に遭います。そのため、反射型に比べて脅威は大きなものとなります。 実際に過去に被害にあった例として
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTML4.01邦訳が読めなくなっている問題 | 水無月ばけらのえび日記