第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング | gihyo.jp
前回は、Webアプリケーションにおける受動的攻撃の代表例の1つであるXSSについて、原理や対策を振り返りました。今回は、同じく受動的攻撃の代表例であるCSRF、オープンリダイレクト、クリックジャッキングについて掘り下げて解説していきます。 CSRF(クロスサイトリクエストフォージェリ) CSRFはどのように引き起こされるのか CSRFとは、たとえば掲示板の書き込みや設定情報の変更などの機能に対して、攻撃者のサイト上に設置されたフォームなどから強制的にリクエストを発行することで、ユーザーの意図していない操作と同様の結果をもたらす攻撃手法です。Webアプリケーションに永続的な副作用がある機能が攻撃の対象となります。 たとえば、http://example.jp/上に設置された掲示板で以下のようなHTMLがあったとします。 <form method="POST" action="/board">
Linux サーバでの「Too many open files」対策について - akishin999の日記
Linux サーバでの「Too many open files」エラー対策について調べたのでまとめてみました。 確認した OS は CentOS 5.9 と CentOS 6.3 です。 「Too many open files」は Linux でプロセスが開けるファイルディスクリプタの上限に達してしまうと発生するエラーです。 「ファイルディスクリプタ」という名前ですが、 Linux ではソケットもファイルディスクリプタなので、ファイルを開いた場合だけでなく、ソケットを使って通信を行う場合にもファイルディスクリプタが使用されます。 そのため、Apache や Tomcat などで高負荷なサイトを運用している場合などには、比較的遭遇する確率の高いエラーではないでしょうか。 このエラーを回避するため、プロセスがオープンできるファイルディスクリプタの上限を変更します。 まずは以下のコマンドを実行
はじめに – まいとう情報通信研究会
RSA暗号は、インターネットでも広く利用されている話題の暗号です。 この暗号をはじめとする現代の暗号は、かつて戦時中に一部組織でのみ使用われた暗号とは異なり、情報セキュリティを確保するための基盤技術として、情報ネットワーク社会に生きる我々に安心を与えてくれるものです。無意識のうちに利用している方もいるでしょうし、既にこの社会にとって必要不可欠なものとなっています。 こうした現代暗号には、RSA暗号の他にも DES(デス、ディ・イー・エス)やAES(エー・イー・エス)など、数多くの方式があります。その多くは複雑な設計であるのに対し、最も特徴的なRSA暗号のエッセンスは非常に単純かつ興味深い理論によって成り立っています。この「からくり」がどんなものなのかを知らないままでは、何だかもったいなくありませんか? この読み物は、現代暗号をRSA暗号を中心に分かり易く解説したものです。詳しい話はこの先を
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
Linux活用講座・MewでGnuPGを使おう
あなたのプライバシーは大丈夫と言えますか?最近映画を見ると、NSAとかいうアメリカの政府機関団体がよく登場します。これはいったい何者なのでしょうか?NSAは、「The National Security Agency」の略です(http://www.nsa.gov/)。この団体は世界中のあらゆる通信を傍受しています。映画では「エネミーオブ・アメリカ」とか「スニーカーズ」がその模様をうまく描いています。「しょせんは映画の中の話でしょ」と思われがちですが、最近の暗号輸出規制の緩和にもこのNSAは大きく関わっています。NSAがある一定の指針を打ち出し、それに該当するものだけが輸出可能になっているのです。1999年末には、「バックドア」が話題になりました。有名な大手OSソフト・メーカーがNSAと共同でOSにバックドアを仕組んで輸出しているというのです。この真意のほどはともかく、誰かの手によってあな
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
犯罪化する「webからの脅威」とは? | アジャイルメディア・ネットワーク株式会社(AMN)
来週9月26日(水)開催のブロガーミーティングでは、ウィルスバスターをテーマにしますが、今日は、トレンドマイクロさんが警鐘をならしている「webからの脅威」について簡単にご紹介したいと思います。 webからの脅威については、トレンドマイクロさんのウェブサイトに下記のような記述がされています。 『「Webからの脅威」とは、ウイルスやスパイウェアなどの悪意あるプログラムを広げるためにWebサイトを悪用するなどといった、インターネット上でおこる悪意ある活動にWebサイトが悪用される一連の活動を指します。また、不正プログラムの作者の目的は、金銭などの具体的な利得へと変化しており、インターネット上の脅威は、犯罪性を帯びてきています。』 これまで話題になることが多かったウィルスというのは、愉快犯的なものであったり、システムを無効化することを目的にしているものが多かった印象がありますが、最近の統計による
IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
「(Internet ExplorerとFirefoxの)どちらにも非がある」 「Internet Explorer」のゼロデイエクスプロイトについて当初はMicrosoftを非難していたセキュリティ研究者たちが今、このように述べている。この問題はウェブブラウザ「Firefox」のユーザーにも影響するからである。 IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。 IEの問題を発見したセキュリティ研究者のThor Larholm氏とセキュリティ企業大手のSyman
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
98/Meは使うな、どうしても使うならネットワークにつなぐな
IPAは、2007年4月のコンピュータウイルス/不正アクセスの動向をまとめ、公開した。同時に、サポートが終了した古いOSを利用するリスクについて注意を喚起している。 情報処理推進機構(IPA)は5月2日、2007年4月のコンピュータウイルス/不正アクセスの動向をまとめ、公開した。 併せて、Windows 98/Meのように、ベンダーによるサポートが終了したプラットフォームがいまだに一部で利用されている事実を指摘。こうしたOSはセキュリティ上の危険性が極めて高いことから、できる限り使用を止めるよう呼び掛けている。 2006年度にIPAに相談を寄せたユーザーをプラットフォーム別に見ると、85.1%がWindows XP/Vistaだったが、次に多いのがWindows 98/Meで9.8%の割合に上った。以下、Windows 2000が3.5%、Mac OSが1.3%、Linuxが0.1%となっ
OpenIDが熱狂的に受け入れられる理由 ― @IT
2007/04/23 3月15日、米国の全国紙USA Todayの「Tech」セクションの紙面をOpenIDに関する記事が飾った。その記事では、さまざまなインターネットサービスが利用されるようになる中、増加の一方をたどる「IDとパスワード」を記憶する義務からユーザーを解放する新しい技術としてOpenIDが紹介されている。 OpenIDは、URLをIDとして利用する認証プロトコルである。ユーザーはOpenID認証サーバが提供するIDをコンシューマ(OpenIDによる認証に対応したサービスプロバイダのこと)でのログインに利用することができる。コンシューマはOpenIDをもとに認証サーバを発見し、自身で認証する代わりにサーバへ認証を依頼する。ユーザー認証はすべて認証サーバ上で行われるので、ユーザーはOpenIDを1つだけ覚えておけば複数のサービス(コンシューマ)へログインできるようになる。つまり
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://homepage.mac.com/mio_rhapsody/gnupg/HowToGetPublicKey.html
Beeblebrox.org | HashTab Shell Extension