Zedとセキュリティー研究者のDan Kaminskyの対話 - karasuyamatenguの日記
Dan Kaminskyは「Sony Rootkit」と「DNS cache poisoning」の発見で著名なセキュリティー研究者。Zedが彼と(以前ちょっと紹介した)autho.meというサービスに関して議論している。 http://www.curated.by/splaice/zed-shaw--dan-kaminsky-talk-about-authome autho.meはZedの最新プロジェクトでOpenIDのようにユーザ検証を代行するサービスのようだ。あるJavaScriptのcryptoライブラリの数学の部分に大する攻撃が実際にあるかという問をツイッターに投げ掛けたのに対し、Kaminskyが「数学よりもタイミングアタックが心配だ」と答えたのが始まりだ。そこから延々と議論が続くが我輩の知識では内容は要約できない。詳細を読みたい読者は上リンクに行き、ページ下のMoreを無くな
Web Application Exploits and Defenses
A Codelab by Bruce Leban, Mugdha Bendre, and Parisa Tabriz Want to beat the hackers at their own game? Learn how hackers find security vulnerabilities! Learn how hackers exploit web applications! Learn how to stop them! This codelab shows how web application vulnerabilities can be exploited and how to defend against these attacks. The best way to learn things is by doing, so you'll get a chance to
JavaScript暗号化ライブラリ「jCryption 1.0」が登場 | OSDN Magazine
jCryption.orgは8月2日、HTMLフォームを暗号化できるオープンソースJavaScriptライブラリ「jCryption 1.0」を公開した。ライセンスはMIT Licenseを利用、Google Codeのプロジェクトページよりダウンロードできる。 jCryptionは、HTMLフォームデータ(POST/GET-Data)を暗号化するプラグイン。RSAアルゴリズムとjQueryを利用してクライアント側でデータを暗号化する。解読は、サーバー側でPHPを利用して行う。 SSLがない状態でもデータを高速かつシンプルに暗号化できることが特徴だが、認証の機能がないことなどから、SSLの代わりにはならないとしている。土台レベルのセキュリティ提供を目指すという。 「Internet Explorer 6」以上、「Mozilla Firefox 3」以上、「Opera 9」以上、「Safar
Linuxでファイヤーウォールの設定がGUIで可能な便利ツール「Firestarter」 - 元RX-7乗りの適当な日々
Linuxでファイヤーウォールの設定、というと"iptables"が有名ですかね。 インターネットに接続(直結)するマシンなら、サーバマシンはもちろんのこと、デスクトップマシンでも直結するなら、様々な脅威を防ぐためにもファイヤーウォールの設定は施すべきです。 で、私もよく「iptablesってどう記述するんですか?」と質問されるのですが、正直"iptables"コマンドで設定する方法は結構敷居が高いと思います。 そこで、GUIで簡単にファイヤーウォールの設定を可能にしてくれる「Firestarter」という便利なツールがあります。 というわけで、導入・設定方法を紹介します。 インストール 今回は、Ubuntu(Hardy: 8.04)に導入してみました。導入方法は超簡単。まず、、、 [システム] ⇒ [システム管理] ⇒ [Synaptic パッケージ・マネージャ] で、「Synaptic
Securing Rails Applications — Ruby on Rails Guides
This manual describes common security problems in web applications and how to avoid them with Rails. After reading this guide, you will know: All countermeasures that are highlighted. The concept of sessions in Rails, what to put in there and popular attack methods. How just visiting a site can be a security problem (with CSRF). What you have to pay attention to when working with files or providin
Rails が即死する REXML の DoS 脆弱性について - 2nd life (移転しました)
http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/ 先日公開された、REXML の脆弱性ですが、「あーそうなんだ、でもうちの Rails のサービスじゃ REXML でパースする処理なんて書いてないから別にいいや」とか思っている方、大変危険です。みんなパッチあてようよ! XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 REXMLのDoS脆弱性 と書いてある通り『大部分のRailsアプリケーションはこの攻撃に対して脆弱』なのです。たぶん今世の中にある Rails な Web サービスの9割が現状でも、
REXMLのDoS脆弱性
Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
妊娠中に蜂の子を食べても大丈夫?
妊娠中は、お腹の赤ちゃんのことが気になるため、普段気にしないことであっても気がかりになるものですよね。乳児にハチミツを食べさせてはダメだということをよく聞きますが、妊娠中に蜂の子を食べても問題がないのでしょうか? 乳児にハチミツがダメな理由は、ハチミツにボツリヌス菌が入っている可能性があり、腸が発達していない乳児の場合、食中毒を起こす可能性があるからです。一方、蜂の子にはハチミツが入っていませんし、蜂の子が胎盤を通して、お腹の赤ちゃんに影響を与えることは何もありません。 蜂の子は栄養が豊富で、貴重なたんぱく質として昔から食べられているものです。蜂の子には、鉄分やビタミンも入っているため、貧血やめまいを起こしやすい妊娠中は、むしろ食べた方が良いでしょう。また、蜂の子には滋養強壮の力もあり、妊娠中に風邪をひかないためにも、蜂の子を食べて免疫力をつけることが大切です。 蜂の子にチャレンジしてみた
acts_as_authenticated & acts_as_cachedのセットがいい感じ
acts_as_authenticated Plugin + acts_as_cachedのセットがいい感じです。 最近は、LoginEngineよりもActs As Authenticatedというプラグインを使ってます。(Acts as Authenticated in Plugins) Acts as Authenticated in Pluginsの下の方を見ていただければわかる通り、このプラグインではパスワード変更とかパスワードリセット、メールアドレス変更などの一通りのアカウント管理のメソッド実装が、サイト上に公開されています。さらに自動ログイン機能が最初から付いてたりと、手軽にしっかりアカウント周りの機能が実装できるので、めんどくさがりの僕はかなり重宝してます。 ただし、このプラグインは唯一欠点があるのです。 それは、「ログインが要求されるアクションへの毎アクセスごとに、ユー
JSONのセキュリティの、疑問 - FAX
snippets from shinichitomita’s journal - クロスドメインでのデータ読み込みを防止するJavaScript ? 東京で舘野にも聞いたんだけど、JSONとクロスドメインのデータ漏洩の問題がよく分からない。JSONって、そもそもいろんな所から使って欲しいからJSONなんじゃないの?裸で戦場で生き残るにはどうすればよいか、←服着ろよ、みたいなことになってない?外部から読まれるとまずいデータは、ハナからJSONじゃなきゃいいのにと思うんだけど。 name : 'brasil', age : 30 } XHRで取って、補ってevalする感じで。 でも、すごい人たちで考えてるので、きっと僕の考え違いなのら。 追記mala 『gmailで使ってるJSONは先頭にwhile(1)がついてて外部で使うとブラクラになるよ』それ、なんてポイズン・ピル? (w
SQL Injection Cheat Sheet
Examples; (MS) means : MySQL and SQL Server etc. (M*S) means : Only in some versions of MySQL or special conditions see related note and SQL Server Table Of Contents About SQL Injection Cheat Sheet Syntax Reference, Sample Attacks and Dirty SQL Injection Tricks Line Comments SQL Injection Attack Samples Inline Comments Classical Inline Comment SQL Injection Attack Samples MySQL Vers
アラビア語で拡張子を偽装出来る件:アルファルファモザイク
■ニュース・テキスト 【動画あり】ジャケットが衝撃的!『女神の素顔 りん』の最新作『女神の素顔りん2』
SSHKeychainを使ってパスフレーズ入力なしでsshを使う(MacOS X) - mteramoto's blog
svn+sshを使ってリモートのレポジトリを使うときに、いちいちパスフレーズを入力するのが面倒だったので、MacOS Xでssh-agentが使えないかどうか調べてみた。 > ssh-agent zshとかしてssh-agent経由でshellを実行すれば使えるけど、2つめのshellはどーすんだとか、コマンドライン以外から起動したssh client(あるかどうかは知らない)はどーすんだとか。 Xなら、ログインするときにopenssh-askpassを使ってパスフレーズの入力と環境変数のセットをすればいいけど、MacOS Xだとどうなるんだろう? とさまよっていたら、よさげなものを発見。 SSHKeychain どういうものかというと、keychainにパスフレーズを保存しつつ、グローバル環境変数をさわってssh-agent関係の環境変数をセットしてくれる。ログイン時に起動するようにして
Apple, Mac, iPhone, iPad, and iPod Reviews, Help, Tips, and News | Macworld
Apple BreakfastIs 2024 the year Apple gets everything right?A Vision for the year: All the news, rumors, and tips you missed last week. UpdatedBest MacBook bags, cases and sleeves 2024We found some of the best laptop bags, covers, cases, pouches and sleeves for every situation, whether you're commuting everyday to work, or traveling abroad.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.quarkruby.com/2007/9/20/ruby-on-rails-security-guide
http://markmcb.com/markmcb/blog/Rails_Captcha_Images_with_Turing