キャラバン名古屋 | セキュリティ&プログラミングキャンプキャラバン2009
お知らせ 2009.12.17 キャラバン名古屋、講義内容をアップしました。 2009.12.4 キャラバン名古屋、参加申込を開始しました。 若年層の情報セキュリティおよびプログラミングについての興味を深めることと優れたセキュリティ&プログラミング人材の発掘と育成を目的として、今夏開催したセキュリティ&プログラミングキャンプの成果とその蓄積されたノウハウを広く一般の方々にも公開すること、これからキャンプに参加していただきたい若い方々に正しい情報セキュリティの理解と意識の向上を図ってもらうこと、また、OSSを中心としてプログラミングやアプリケーション開発について興味を持っていただくことを目的として、「セキュリティ&プログラミングキャンプ・キャラバン2009-名古屋-」を開催します。皆様のご参加をお待ちしております。 開催日時 平成22年1月23日(土)10:00~16:30(終了予定) 開催
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ)
当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の
Visual Studio 6.0にバッファオーバーフローの脆弱性
「Visual Studio 6.0」とWebアプリケーション開発ツール「Visual InterDev 6.0」本体に、バッファオーバーフローの脆弱性が存在する。パッチは存在しない。 Microsoftの統合開発環境「Visual Studio」とWebアプリケーション開発ツール「Visual InterDev」本体に、バッファオーバーフローの脆弱性が存在することが明らかになった。 3月3日付けでセキュリティ関連メーリングリストに投稿された情報によると、「Microsoft Visual Studio 6.0 Serivce Pack 6」および「Microsoft Visual InterDev 6.0/Microsoft Development Environment 6.0(SP6)」にバッファオーバーフローの脆弱性が存在する。 これらの環境が動作しているマシンで、DataProj
PEAK XOOPS - 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの2
前記事 プログラミング解説書籍の脆弱性をどうするか 高木氏が12/27のブログエントリで書かれた、拙著「PHPサイバーテロの技法」に対する批判は大きく2点に分けられると思います。 (1) 「サイバーテロ本」では、その場しのぎ的な「サニタイズ」を行うコーディングを推奨している (2) 「サニタイズ言うなキャンペーン」 このメインとなる2点以外についても、拙著「PHPサイバーテロ本」についていくつか書かれているので、それについての回答や反論を先に片づけておきます。 「書籍に脆弱性があることについて」 高木氏、12/27エントリの冒頭部: Quote: 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないと
PEAK XOOPS - 「プログラミング解説書籍の脆弱性をどうするか」への反論のようなもの1
という手法が挙げられていて、これが本命の対策のように書かれているが、これは対策にならない。4月27日の日記に書いていたように、必要なパラメタ値がセッション変数にセットされているということは、前のどこかのページでその値をセットするリクエストがあるはずで、そのリクエストにCSRF攻撃した後に実行ページにもCSRF攻撃するような仕掛けで破られてしまう。 確かに「破られる」部分についてはその通りです。「CSRF対策には、本命と呼べるものが存在しない」ということを説明するためには、なるべく多くの対策法を書くべきだろうと思い、頭の中で簡単にシミュレートしただけのものを載せてしまいました。セッション継続中に、JavaScriptによる連続自動POSTをされるようなサイトに行くことがあれば、対策にはなりません。攻撃側のハードルを高めることにはつながっていますが、せいぜい、「POST利用法」と同程度の「補助
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Visual Studio 6.0 Buffer Overflow Vulnerability
Microsoft Corporation