P3Pコンパクトポリシーをコピペするのが流行らないことを祈る | 水無月ばけらのえび日記
なにげにしらなかったんだけど、IEで別ドメインのiframeを読み込むと、そのiframe内のcookieが有効にならない。 そーゆーときは、HTTPのリクエスト時のヘッダーに下記のkey&valueを出力しておけばOKらしい。 ("P3P", 'CP="CAO PSA OUR"') こーするだけで、あらふしぎ。IEがCookieを保存してくれるじゃん。 ……。 iframeで別ドメインのコンテンツを読み込むと、そのCookieはサードパーティーのCookieとなります。IEのデフォルトでは、ポリシーが定義されていないサードパーティーのCookieは受け入れないようになっていて、P3P (www.w3.org)でポリシーを宣言すれば受け入れられるようになります。 P3Pのポリシーを定義するには、がっつりとXMLを用意する方法もありますが、HTTP応答ヘッダの中に直接書くという方法もあり、コ
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
DNSの危機に対応を
DNSの危機に対応を! 〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜(8/28 脅威についての説明追記) 2008年7月、セキュリティ技術者 Dan Kaminsky 氏が考案したDNSに対する新たな攻撃手法が明らかになり、8月6日、Kaminsky氏による発表がセキュリティ関連の国際会議 Black Hatで行われました。 これはDNSキャッシュサーバに偽の情報を注入(毒入れ/Poisoning)するものです。DNSは原理的にキャッシュへの毒入れ脆弱性を持ち合わせており、特に脆弱な実装のDNSサーバソフトウェアでは過去に何度か対応が図られてきました。今回あきらかになった手法は従来手法よりはるかに効率的に、状況によってはほぼ確実に毒入れができるというもので、大変危険なものです。 すでに攻撃コードも公開されており、被害も発生していることが報告されています。 まず、以下の
妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」
ネタではなく極めてマジメなBOT対策用モジュール、それが「妹認証」です。 MITライセンスで無償提供されており、質問文と回答文に日本語を完全にサポートし、質問文はPHP+GD+TTFフォントで画像出力を実現。標準でバンドルされている妹の名前は「れいにゃ」となっており、質問文やキャラクターを自分でカスタマイズすることも可能です。 実際の動作デモやダウンロード、導入方法などは以下から。 妹認証 - 妹がBOTからプログラムを守る http://www.okanesuita.org/auth_sister/ 以下のリンクから動作デモを体験することができます。 動作デモ http://www.okanesuita.org/auth_sister/?#demo 質問文が表示されるので回答を入力、「送信」をクリックすると…… 成功 以下のリンクからダウンロードが可能です。 ダウンロード http://
機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
まちがった自動ログイン処理
Last Updated on: 2018年8月20日問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保存さ
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
Debian JP Project - 最近の話題 - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) 残念な事に Debian の OpenSSL パッケージに脆弱性が見つかりました。見つかった問題は既に修正されていますが、 今回の問題はパッケージの更新だけで済ませられないものとなっています。 今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影
Run Installer, Run! - Security Risks - STN Peer-to-Peer Discussion Forums
Given the choice when browsing, I would download and save an executable file rather than directly run it. Free will has always been a hot topic in philosophy and when it comes to Web browser security the topic suddenly gets hot as well! I was recently browsing a well known adware vendor Web site when I decided to download a game and try it. As usual I came across a normal download page: Figu
gpg.el (ファイルの暗号化/復号化)
[ホーム]-> [emacs]-> [活用法]-> [gpg] gpg.el (ファイルの暗号化/復号化) 1. gpg.el とは 2. インストール 3. 使い方 1. gpg.el とは ファイルを他人に見られたくない場合, 暗号化して保存するという方法が考えられます。 このとき, 編集する度に一々復号化したり暗号化したりする作業は面倒です。 そこで, 適当に拡張子を設定し, Emacs でファイルを開くときには自動的に復号化し, 保存するときには自動的に暗号化してくれれば便利です。 暗号化にGnuPGを利用する場合は, 山本和彦氏の書かれた gpg.el を利用すると, これらのことができるようになります。 2. インストールと設定 もちろんGnuPGがインストールされていることが前提です。まず gpg.elを load-pathに置き、好みに応じて bytecompileします。
Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
機能変更、お知らせなど - はてなの日記 - はてなサーバーへの不正な侵入について
はてなサーバーへの不正な侵入について 本日、はてなのサービスを提供する2台のサーバーに、先週金曜日より不正な侵入が行われていたことが判明しました。 はてなでは本日午前4時頃にこの事実を認識し、午前6時頃に不正なアクセスの遮断を行いました。また、現在継続的に詳細な調査、対策を行っております。 今回の不正侵入は、はてなサーバー群の入り口に当たるサーバーのうちの2台に対して、サーバーのログイン情報を機械的に総当たりする方法によって行われました。不正侵入に成功したアカウントにより、ftp scanner, irc botプログラムが設置され、外部に対して実行されるという被害が発生しました。 はてなではさらに、内部に存在するデータベースサーバーなどへのアクセスの形跡などについて調査を行いましたが、これらの形跡は発見されておらず、データベース上のユーザー情報が取得されたり、皆様にご利用いただいているサ
JavaScript Security: Signed Scripts
There is one exception to the same origin rule. A script can set the value of document.domain to a suffix of the current domain. If it does so, the shorter domain is used for subsequent origin checks. For example, assume a script in the document at http://www.company.com/dir/other.html executes this statement: document.domain = "company.com"; After execution of that statement, the page would pass
Firewallと森で遊ぼう
ダイヤルアップ・ブロードバンドで接続している全世界3億7000万人のインターネットUserに贈る 個人用(Personal) Firewallのすすめ & インターネット セキュリティ インターネットという危険地帯を歩くときの必需品であり、平和な家庭を守るための道具であり、精神安定剤としてのFirewall(ファイアウォール)とAntiVirus(アンチウィルス)などのセキュリティツールの紹介とセキュリティ情報を提供します。これからは常時接続!でも今の環境のままではあなたとPCは生きていけない 最近追加した内容 ・2006/09/05 Avira AntiVir PersonalEdition ClassicをSecuToolに追加。 ・2006/07/23 Comodo AntiVirusをSecuToolに追加。 ・2005/11/26 IE Privacy Ke
セキュリティ関連リンク集 @Palm84
オススメ ▼セキュリティリンクby 【INNOCENT】さん 迷子になりそうなくらいの数の色々なリンクが綺麗にまとまってます。 ■ 初心者向き解説サイト ▼ホームユーザー向けセキュリティ ホームユーザーならここさえ読んでおけば大丈夫ではないかと思います。(最近のMS社のサイトはかなり充実、且つわかりやすいのですが知らない人も多いみたいな...。) ▼初心者のための「お金をかけないウイルス対策」 ウイルス・スパイウェア等、セキュリティ全般についての解説。難しい用語がわからない方でも理解しやすい説明をされてます。 AVG Free Edition のインストールから運用まで詳細ページもあります。 ▼ウィルス対策の第一歩はWindows Update 【Microsoft Security】内の解説ページです。 サイト内には絵でみるセキュリティ情報などわかりやすい解説があります。 ▼PCセキュリ
ウイルス対策ソフト比較 2007年度版
内容がかなり古くなって来ました。この手の情報は新しくないとあまり意味がなかったりするのでご注意下さい。2008年度版については、継続的に使用できる環境がなくなってしまったので多分書けません。(※まぁ、元々誰でも書けるようなことしか書いてなかったりするのでアレ?なのですが...)。すみません。 2006.11.10作成 - 内容が少し“マシ”になったかなと勝手に思っています。しかし、見難さは相変わらずであった... 2006.11.19 「メモリ使用量」と「機能比較」少し訂正入れました。すみません。 2006.12.2 冒頭にちょっと追記 2007.8.8 AVG Anti-Virus FREE Edition の日本語版がリリースされました 目次へ移動(M) 【11/11追記】Norton Internet Security の「保護者機能」について確認するのを忘れておりました(滝汗)。U
Sun Developer NEWS いまこそ新しいOS、新しい言語をイメージする
2002年新年号の談話室時也葉に登場するのはコグニティブ リサーチ ラボ株式会社の代表取締役であり、コンピュータサイエンテストである苫米地英人氏をお迎えしての新春放談。 苫米地氏は、Javaコンソーシアムの立ち上げに尽力されたり、ジャストシステムで多くのプロダクト開発に関わった実績に加え、大学における活動や、国家プロジェクトでの活躍など多彩な方面で活躍されていますし、コグニティブリサーチ社においては独自のWebサーバをLISPを使って開発するなど、LISPのエキスパートとしても有名。 今回はコンピューターサイエンテストとしての立場から、今求められているコンピューティングのあり方についてお話を伺った。JavaやSolarisの世界に留まらず、真の次世代コンピューティングについてとてもエキサイティングな話しを伺うことが出来た。そのすべてを紹介することはできないが、その片鱗でも感じて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
qmail.jp
Redirect
McAfee SiteAdvisor ― Firefox 拡張機能のダウンロード
