端末の耐タンパ性とネットワークセキュリティ | 水無月ばけらのえび日記
SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。 (~中略~) これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。 これはちょっとわかりにくい記事だと思いました。 まず、普通の利用者が普通に利用する際に中間者攻撃が問題になることはないはずです。サーバ証明書を検証することによって中間者攻撃を防ぐ仕組みがありますので、普通の利用者は中間者攻撃を恐れる必要はありません (PS3 (www.amazon.co.jp)自体に脆弱性がなければの話ですが)。
ガラパゴスに支えられる携帯サイトのセキュリティ | 水無月ばけらのえび日記
公開: 2010年3月6日14時20分頃 モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。 携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできないこれはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。 PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送
意図せぬレスポンスボディを含むリダイレクト応答 | 水無月ばけらのえび日記
更新: 2024年3月4日21時6分頃 「ダチョウ式リダイレクトと名付けてみる修行 (d.hatena.ne.jp)」。 ここで言っている「ダチョウ式リダイレクト」とは、リダイレクト応答のレスポンスボディに意図せぬものが出力されている状態を指します。「頭隠して尻隠さず」という言葉がありますが、英語では "To bury one's head ostrich-like in the sand." と言うそうで、ostrich はダチョウですね。 ステータスコードが 301 や 302 などになっていて、Location: フィールドが出力されていれば、レスポンスボディが何であれリダイレクトは行われます。この場合、多くのブラウザではレスポンスボディは見えませんが、パケットを見ればレスポンスボディは丸見えという状態です。普通にブラウザで見ていても分からないので、テストでも発見しにくい厄介な不具合
DNS デボルブ話 | 水無月ばけらのえび日記
公開: 2009年6月17日0時15分頃 セキュリティホールmemo経由 (www.st.ryukoku.ac.jp)で……マイクロソフト セキュリティ アドバイザリ (971888) DNS デボルブ用の更新プログラム (www.microsoft.com)。 不勉強なもので、デボルブという言葉を知りませんでしたが。 「contoso.co.us」のように、ドメイン名に 3 つまたはそれ以上のラベルがある場合、または、DNS サフィックスの一覧を構成していない場合、または、次の問題を緩和する要素に該当するものがない場合、誤りにより、クライアント コンピューターが組織の境界外にあるコンピューターを組織の境界内にあるかのように処理してしまう可能性があります。 (~中略~) たとえば、western.corp.contoso.co.us ドメインの「Single-label」を見つけている W
怪談: SQLインジェクションの恐怖 | 水無月ばけらのえび日記
ところが、同じチェックシートの『チェック3「内部データをのぞき見されているかもしれない」チェック』は、益は少しあるかもしれないが、それ以上に予期しないトラブル、具体的にはデータベースの破壊を招きかねないという点で、けっして「かんたん」というものではない。 (~中略~) SQLインジェクションの検査は、専門家がやっても時としてデータベースを破壊しかねないものであるので、診断に先立って必ず免責事項を取り交わす。そのような危険を伴う診断行為を一般ユーザに試させるのであれば、まずは安全第一の検査パターンを紹介した上で、診断に伴う危険性を十分に告知することが検査会社としての責務であると考える。 これ、個人的に恐怖体験があります。 「JVN#92832583 Advance-Flow におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」というのがありますが、私がこれを発見したとき、同時にS
問い合わせ先電話番号もSSLで保護すべきなのか | 水無月ばけらのえび日記
まず、偽の電話番号を掲載した偽のWebページを用意。SEOを駆使して、偽メールに記載した電話番号やその企業/組織名で検索した場合に、その結果の上位に表示されるようにしておく。こうしておけば、検索サイトで確認したユーザーはまんまとだまされる危険性が高い。 偽の電話番号を表示するフィッシングサイトということですね。最近では問い合わせフォームをSSL/TLSで保護することは常識になってきた感がありますが、問い合わせ先の電話番号を掲載しているページもSSL/TLSにした方が良いという話になってくるのかも。 「問い合わせ先電話番号もSSLで保護すべきなのか」へのコメント (3件)関連する話題: セキュリティ / SSL/TLS
IE7でコンテント・ネゴシエーションが残念なことになる件 | 水無月ばけらのえび日記
Accept-Language によるコンテント・ネゴシエーションが IE7 でうまく動作しないらしいというお話があり、いろいろ調査。 問題を簡潔にまとめると、「IE7で複数の言語を設定している場合に、その設定の順位が無視されているように見える」という感じ。たとえば、コンテンツ側で日本語と英語を用意しているとき、以下のような動作になります。 言語設定何も無し……英語コンテンツが返ってくる英語のみ設定……英語コンテンツが返ってくる日本語のみ設定……日本語コンテンツが返ってくる英語、日本語の順で2言語を設定……英語コンテンツが返ってくる日本語、英語の順で2言語を設定……英語コンテンツが返ってくる (順番が無視されている!)日本語、英語の順で設定したら日本語を返してほしいのに、何故か英語が返って来るという。 この原因は、「IEBlog : Accept-Language Header for I
Unicode Web Traversal | 鳩丸ぐろっさり (用語集)
用語「Unicode Web Traversal」についてUnicode Web Traversal (ゆにこーどうぇぶとらばーさる)話題 : セキュリティ かつて IIS に存在した脆弱性で、「Unicodeバグ」とも呼ばれます。これは、冗長な符号化がなされた UTF-8 の文字列を含む URL によって、本来アクセスできてはならないものにアクセスできてしまうという Path Traversal の問題です。Microsoft はこの問題を MS00-057 (www.microsoft.com) および MS00-078 (www.microsoft.com) として公開、修正プログラムを提供しています。 ※名前だけ聞くと Unicode 系の符号化方式全般の問題のように思えますが、これは UTF-8 に固有の問題で、UTF-16 ではこのような問題は発生しません。 たとえば、スラッシ
入力時に文字参照に変換するのがよろしくない理由 | 水無月ばけらのえび日記
「Twitterのクロスサイト・スクリプティング(XSS)対策は変だ (www.tokumaru.org)」。文字参照に変換した状態で DB に格納しているというのは、けっこう良くある話だろうと思います。この手のエスケープしすぎによる化けは、twitter に限らず、よく見かけますので……。 ※HTML のエスケープに限らず、入力欄に \ を入れて検索すると \\ に化けて、検索ボタンを押すたびに \ が増殖していくという面白いシステムも良くありますね。 一昔前のフリーの掲示板 CGI などでは、フォームの値を読み取るところで < → < " → " のように文字参照に変換してしまうのが一般的でした。この手のアプリケーションは、 絶対に HTML にしかデータを出力しないフォームからの入力以外のデータを処理しない作者が一人で開発しているので、出力時の処理も把握しているという
文字参照 | 鳩丸ぐろっさり (用語集)
用語「文字参照」について文字参照 (もじさんしょう)話題 : HTML SGML/XML において、任意の文字を参照するための仕組み。文書文字集合のコードポイントを数値で指定し、特定の文字を参照することができます。たとえば、文書文字集合が ISO10646 のとき、
文字参照とエンコードとエスケープ | 水無月ばけらのえび日記
注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる (~中略~) HTMLエンコードというのは,例えば「&」「<」「>」「"」といった,HTMLとして特殊な意味を持つ文字(特殊文字またはメタ文字)を,意味を持たない別の文字列に置換することである。 この注釈はいらないでしょう。「メタ文字を、意味を持たない別の文字列に置換すること」を実体参照とは言いません。もちろん HTML の仕様には「HTMLエンコード」などという言葉は出てきませんが、ここではサーバ側での変換処理のことを呼んでいるわけですから、無理に SGML/XML の仕様で使われている用語に置き換えようとする必要は無いはずです。 ただ、「HTMLエンコード」という言い方は、Microsoft 製品に親しみのない人には違和感があるかもしれません。AS
脆弱性の分類と脆弱性の原因 | 水無月ばけらのえび日記
「Dreamweaver プロフェッショナル・スタイル (cssnite.jp)」という本が出ることになっておりまして、末尾の方には Dreamweaver とあんまり関係ない脆弱性関連の話が出てくるわけですが、脆弱性関係の文章を書いていていつも思うことがあります。 それは、脆弱性の分類がメチャクチャだということです。良く耳にする脆弱性の名前というものがあると思いますが (「クロスサイトスクリプティング」など)、それは「原因となった欠陥」だったり「攻撃手法」だったり「結果として起きたこと」だったりしていて、全くもって MECE な分類になっていないのです。 ※MECE = Mutually Exclusive collectively Exhaustive で、「もれなく、重複無く」という程度の意味。 たとえば ACCS事件を見てみると、こんな感じになります。 原因 : CGI はパラメー
XSSフィルタはきりがない | 水無月ばけらのえび日記
歴史的経緯を振り返ってみても、HotmailやYahoo! Mailなど、HTMLメールに対応したWebメールが90年代から繰り返しこの種の原因による脆弱性を指摘されてきましたが、発見者達は言外に「このような作り方はやめるべきである」という主張を含んでいたのだろうと私は思います(し、私が指摘したものについてはそのような意図を含んでいました)。しかしながら、そうした脆弱性を指摘されたサービス提供者たちは、根本的な解決を選択せずに、フィルタリング方法のその場しのぎの改善を繰り返して現在にまで至っています。 そうですねぇ。 いつぞやの講演でも言ったと思いますが、指摘→修正→別の方法で貫通することを指摘→修正→別の方法で貫通することを指摘……などという経験をすると、本当にあほらしく思うわけでして。 「XSSフィルタはきりがない」へのコメント (5件)関連する話題: セキュリティ
Cross Site Tracing | 鳩丸ぐろっさり (用語集)
用語「Cross Site Tracing」についてCross Site Tracing (くろすさいととれーしんぐ)話題 : セキュリティ クロスサイトスクリプティング脆弱性などを利用して TRACE メソッドのリクエストを発行させ、HTTP要求ヘッダの内容を読み取る手法のことです。これによって Authorization フィールドの内容を読み取り、Basic 認証のパスワードを盗むことができます。 通常、クロスサイトスクリプティング脆弱性を利用した攻撃では Cookie の内容を読み取ってセッションハイジャックを行うことが想定されます。Cookie の内容はスクリプトから簡単にアクセスできます。クロスサイトスクリプティング脆弱性によって任意のスクリプトが実行できるようになっていると、Cookie は簡単に盗まれてしまいます。 それに対して、Cookie を使用せずに Basic 認証
サニタイズ言うなキャンペーンがわかりにくい理由 | 水無月ばけらのえび日記
「サニタイズ言うなキャンペーン」とは何か (takagi-hiromitsu.jp)要約版:「サニタイズ言うなキャンペーン」とは (takagi-hiromitsu.jp)個人的には、「サニタイズ言うなキャンペーン」がわかりにくくなっている最大の要因は、「サニタイズと言うな」という語の多義性にあるのではないかと思います。私は最初にこの話を見たとき、これを「サニタイズという言葉を使うな」と解釈して、以下のような主張なのではないかと予想しました。 とある概念を、「サニタイズ」と呼んではならない「サニタイズ」という言葉を使うのではなく、別のもっと適切な言い方をすべきであるしかし、「「サニタイズ言うなキャンペーン」とは何か (takagi-hiromitsu.jp)」の議論を見ると、これはむしろ以下のような話であるように思えます。 きちんとしたプログラミングの手法をとれば、プログラマが「サニタイズ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱性の呼称 | 水無月ばけらのえび日記