yebo blog: Kaminsky氏のDNSバグがリーク?
2008/07/23 Kaminsky氏のDNSバグがリーク? 2週間前にDan Kaminsky氏が指摘したDNSの脆弱性はBlack Hatで公開するとしていたが、Halvar Flake氏が推測した方法であることがわかった。キャッシュサーバのキャッシュを汚染するためには次のように攻撃を行う。攻撃者はいい加減な多数のドメイン名 www.ulam00001.com, www.ulam00002.com のように問い合わせを行う。サーバはキャッシュにないため、「.com」のネームサーバに問い合わせることになる。そこで、攻撃者は.com の権威DNSサーバを偽装して、www.ulam00002.comのNSはns.google.comだよと知らせ、ns.google.com が66.6.6.6であるとするグルーを加えて応答を行う。すると、TXIDが一致した場合にキャッシュサーバはそのグルー情
安全なウェブアプリケーション発注のあり方
情報処理推進機構 ウェブアプリケーシ ョン開発者向けセキュリティ実装講座 2006年12月13日, 20日 経済産業省 受託研究 • 平成17年度脆弱性関連情報流通の枠組み構築事業 「ウェブアプリケーションのセキュリティガイドライン策定に関す る調査研究」 • 実施体制 – – – – – 産業技術総合研究所(プロジェクト総括、ガイドライン案作成) 日本ユニシスソリューション (開発事業者の立場から調査) NTTデータ (検査事業者の立場から調査) 関西情報・産業活性化センター (発注者の立場から調査) 三菱総合研究所 (ソフトウェア部品、脆弱性実態の調査) 安全なウェブアプリケーション発注 のあり方 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ 1 2 自治体の実
Part2 Rubyに学ぶ「Ruby on Railsの正体」:ITpro
電波系Rubyプログラマ。好きな言語はC++とLua。最近,仕事ではRailsでのWebアプリケーションの開発を主にやっています。Webアプリケーションばかり触っていると,ときどきアセンブラが恋しくなりますね。仕事にかまけているうちに,趣味で開発したいプログラムのネタが大量にたまっています。 Rubyで記述されたWebアプリケーションフレームワークRuby on Rails(Rails)が人気を博し,Railsを使うのに必要なRubyもまた話題になっています。Railsの作者であるDavid Heinemeier Hansson氏は「Railsには,Rubyと同じ感触,同じ匂い,同じ味わいがある」と言っています。この言葉には様々な解釈がありますが,筆者は,「Rubyのやりかた」を極限まで突き詰めてフレームワークに適用したのがRailsであると考えています。 Rubyは何かにつけ「人に優しい
自分の声で音声合成 OKIがソフト発売
沖電気工業(OKI)は7月24日、自分の声から音声を合成し、入力したテキストを読み上げられる音声合成ソフト「Polluxstar」(ポルックスター)を発売した。あらかじめ録音しておいた自分の声のデータベースを元に音声を合成する仕組みだ。 病気などで声を失った人に、自分の声の代わりとして使ってもらうといった用途を想定している。価格は音声データベース製作費用を含めて105万円。 「カスタム原稿」でイントネーションや方言も再現 あらかじめ録音しておいた声を「音素」と呼ばれる細かい単位に分解してデータベースを作成。PC上で入力したテキスト通りの音素を抜き出して組み合わせ、音声を再生する。 データベースを作る作業は、ユーザーの声の録音から始まる。同社が用意した自然文の原稿をユーザーに朗読してもらい、その声を録音。原稿の長さは1000文ほどで、読み上げると60分くらい。収録には2~3時間かかるという。
実践!Webセキュリティ点検術(6)HTMLインジェクションの調査と対策
※弊社および筆者はこの記事によって引き起こされた損害賠償責任、刑事責任、一切の責任を負いません。調査を実施する場合は、調査が許可されたテスト環境に対してのみ行ってください。場合によっては「不正アクセス禁止法」などに抵触することもあるので自己責任の上で十分に注意して実施してください。 前章で述べられているとおり、Webサーバのセキュリティには2段階ある。前章で紹介したWebサーバ自身のセキュリティと本章で紹介するWebサーバの上で動作するWebアプリケーションのセキュリティだ。 Webアプリケーションとは、ショッピングサイト、ブログ、SNS、掲示板など、Webサーバ上で動作する、動的なコンテンツを実現するアプリケーションプログラムである。Webアプリケーションは、ユーザーからのリクエストに対し、内部で処理を行い、それに応じた結果をユーザーに返す、という動作をしている。 Webアプリケーション
Kazuho@Cybozu Labs: Pathtraq の API を公開しました
公開から約1年を経て、Pathtraq は、宣伝したりインストールしてくださる皆さんのおかげをもちまして、6,000 万 URL 以上注のアクセス統計を保持するデータベースに成長いたしました。この統計情報をどのように活用していくか、と考えたときに、皆さんからいただいたデータを囲い込んでおくのではなく、できる範囲で公開し、再利用してもらうべき、というのは自然な発想だと思います。 そうは言っても、データベースやネットワークに与える負荷を考えるとなかなか難しいなぁというのが当初、個人的な感触だったのですが、同僚の山口を中心にいろいろ積極的に社外の人々に話を伺ったりして (お世話になった方々、ありがとうございます)、公開できるものを整理して実装、Pathtraq の開発者向け情報として文書化をすることができました。この API 群を使うことで、インターネット全体に渡って、人気のニュースやブログ記事
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DNSサーバ・セキュリティ
『実践!Webセキュリティ点検術(6)HTMLインジェクションの調査と対策』へのコメント