ockeghemのブックマーク - はてなブックマーク

2012年3月版　埋め込みサービスの改変がもたらすリスク－＠IT

山本洋介山 bogus.jp 2012/4/12 年度末だったからか、忙しくてツイートが滞りがちになる人も多かった3月のセキュリティクラスタですが、事件は年度末などに関係なく起こるものです。特に、今年になって話題になることの多い、スマートフォンやプライバシーに関連した事件がタイムライン（TL）をにぎわせました。自分が使っているサービスから知らないうちに個人情報が送信されるようになっていたり、ある日突然、セキュリティ的に脆弱な事柄が見つかったりします。インターネットって大変ですね。そして個人的なことですが、この連載の元となるブログのために、「NAVERまとめ」を使い始めました。とても便利です。はてなが第三者に閲覧履歴を送信していたことが判明 3月になって、「はてなブックマークボタン」（はてブボタン）の仕様が変更され、ユーザーのあずかり知らぬところで、はてブボタンが設置されたサイトを訪れた

ockeghem 2012/04/14

security

リンク

個人情報を外部に送信する日本語のAndroidアプリに注意－＠IT

2012/04/13 動画再生アプリを装ってバックグラウンドで電話番号などの個人情報を収集し、外部のサーバに送信するAndroidアプリが存在するとして、セキュリティ専門家が注意を呼び掛けている。これらのアプリに対する疑念がTwitterで浮上したのは4月11日。「○○（人気アプリの名前）the Movie」という名称で、グーグルの公式アプリサイト「Google Play」で配布されていたアプリが、電話帳内のデータなどを読み取り、外部に送信していると指摘された。解析を行ったネットエージェント代表取締役社長の杉浦隆幸氏によると、これらのアプリは、オリジナルのアプリを動作させた動画を再生しつつ、インストールされた端末の電話番号、Android_ID、名前、さらに電話帳に登録してある名前と電話番号、メールアドレスを収集し、外部のサーバに送信していた。アプリをインストールする際には、「REA

ockeghem 2012/04/14

「これ、という対策は残念ながら存在しない」（杉浦氏）

リンク

「オープンソース形式でWebアプリセキュリティの向上を」－＠IT

2012/04/10 Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体、The Open Web Application Security Project（OWASP）の日本支部であるOWASP JAPANチャプターは3月27日、第1回のLocal Chapter Meetingを開催した。今後もこうしたセミナーを定期的に開催していく方針だ。 OWASPは、Webアプリケーションセキュリティの向上を目的とした団体だ。Webアプリケーションの脆弱性ワースト10を取りまとめた文書「OWASP Top 10」を定期的に公開するほか、安全なアプリケーション開発のためのガイドラインや脆弱性診断チュートリアル、診断トレーニング用の“やられWebアプリケーション”である「WebGoat」など、さまざまなリソースを提供している。 JAPANチャプターリーダーの1人、Benny

ockeghem 2012/04/12

OWASP JAPANチャプターが活動開始

OWASP

リンク

Webサイト常時SSL化のススメ－＠IT

2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL（Always-on SSL）に関する説明会を開催した。米シマンテックシマンテックトラストサービシズプロダクトマーケティングシニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし（セッションハイジャック）だ。特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」（グリックマン氏）という。すでに、FacebookやTwitter、Google、Pay

ockeghem 2012/04/12

これはアプリの脆弱性だから常時SSLを勧める理由としてはどうかな

リンク

phpMyAdminを狙う攻撃が増加、アップデートなどの対策を－＠IT

2012/01/16 2011年の年末から2012年にかけて、phpMyAdminの脆弱性を狙った攻撃が増加しており、注意が必要だ。いくつかのブログで、phpMyAdminの脆弱性をスキャンしたと見られるログが報告されている。 phpMyAdminは、PHPで実装されたMySQLの管理ツールだ。機能が豊富で、Webインターフェイス経由でMySQLを管理できることから広く利用される一方で、複数の脆弱性が発見されており、たびたび攻撃の標的になってきた。古くは2009年3月に、「phpMyAdminのsetup.phpにおける任意のPHPコードを挿入される脆弱性（CVE-2009-1151）」が発見され、学術機関を中心に被害が発生した。また2011年7月にも、任意のコードを実行可能な2種類の脆弱性（CVE-2011-2505、CVE-2011-2506）が発見されている。この脆弱性に関するN

ockeghem 2012/01/20

皆様ご注意を

リンク

安全を考えてPHPの実行時設定を調整する

PHPを初期設定のまま使うと、いろいろ問題が起こる可能性があります。今回は、問題の発生を未然に防ぐ設定法をいくつか紹介します。（編集部）初期設定のままでは良くないところもあるここ数回はPHP実行時の設定について解説しています。実行時設定を変更する方法として、PHPの設定ファイル（以下php.iniファイル）に設定を記述する方法と、Apache HTTP Server（以下Apache）の設定ファイルにPHPの設定を記述する方法の2つがあり、前回はその使い分けについて解説しました。サーバ全体で標準の設定値としたいものはphp.iniファイルに、バーチャルホストやURLごとに変更したいものはApacheの設定ファイルに記述する、という使い分けの指針も示しました。今回は、php.iniで設定できる項目、つまりサーバ全体にかかわる設定項目の中でも、初期設定のままにしておくことがあまり適切で

ockeghem 2012/01/05

『PHPを使っているという事実を隠す』<拡張子が.phpという時点でバレバレだし、もっと別のところに気を配るべき

リンク

スマホアプリとプライバシーの「越えてはいけない一線」－＠IT

スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト

ockeghem 2011/10/27

リンク

本当は怖いパスワードの話ハッシュとソルト、ストレッチングを正しく理解する－＠IT

PSN侵入の件から始めよう今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。しかし、15:03ごろに「パスワードは暗号化されてなかっ

ockeghem 2011/10/06

寄稿しましたのでどうぞお読み下さい

リンク

PHP 5.3.7に重大なセキュリティ問題、アップデートはちょっと待った－＠IT

2011/08/23 PHP development teamは8月22日、PHP 5.3.7に重大な問題があることを明らかにした。数日以内に予定しているバージョン5.3.8のリリースまで、アップグレードを延期するよう呼び掛けている。 PHP 5.3系の最新バージョンであるPHP 5.3.7は、この8月18日に公開されたばかりだ。セキュリティフィックスも含め、90以上のバグを修正する内容となっていた。しかしバグレポートやインターネット上のブログによると、PHP 5.3.7のcrypt関数には重大な問題が存在する。crypt()は文字列のハッシュ値を返す関数で、元の値に「salt（ソルト）」という乱数を付けた値のハッシュを生成する（ソルト付きハッシュ値）。しかしバージョン5.3.7でMD5アルゴリズムを利用した場合、crypt関数は肝心のハッシュ値なしでソルトのみを返す。従って、これをパス

ockeghem 2011/08/23

crypt関数の脆弱性の件

php
security

リンク

ケータイWebの今後を安全に保つには

“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます（編集部）前回では、URLにセッションIDを埋め込むことの問題点を指摘した上で、今後はできるだけケータイでもCookieを使うことを提案しました。それを受けて今回は、前半で、ケータイWebでCookieを使う際の注意点について説明します。そして後半では、連載の終わりに当たり、スマートフォンが普及しつつある状況下でのケータイWebの今後について説明します。ケータイWebにおけるCookieは「取り扱い注意」これまで説明したように、KDDIとソフトバンクのケータイでは従来からCookieが利用でき、NTTドコモの端末でも2009年夏モ

ockeghem 2011/08/16

時間が空いてしまいましたが最終回です

リンク

「組織力」でハッキングコンテストに挑む日本人チーム－＠IT

2011/08/05 毎年夏になると、世界最大級のセキュリティカンファレンス「BlackHat Briefing」と「DEFCON」が、米ラスベガスにて開催される。これらカンファレンスは、脆弱性や最新の攻撃動向に関する研究成果などを発表する場である一方で、特にDEFCONは技術者の「お祭り」という側面も持つ。その「お祭り感」を最もよく体現し、人気も高いイベントが、ハッキングに関する知識や技術を競うDEFCONの「CTF（Capture The Flag）」だ。今年のDEFCONのCTFは、現地時間8月5日の9時から行われる予定だ。参戦できるのは、300チームが参加した予選を勝ち抜いた12チームだ。今回はここに、日本人チーム「sutegoma2」（すてごま2）が参加する。個人としての日本人参加はこれまでもあったが、日本人チームとしての参戦はこれが初めてのこと。本戦を前にsutegoma2

ockeghem 2011/08/05

『なでしこジャパンに続く日本人チームの健闘に期待したい』<なでしこ同様、彼らの多くも普段は会社員として働き、練習は夜間や土日と聞きます。健闘を祈ります

リンク

本当のAnonymousが知りたいの

PlayStation Networkに関する報道によって日本でも広く知られるようになった「Anonymous」。果たして彼（女）らはいったい何を目的とした、どんな集団なのか。日本に住むAnonymousの1人に取材する機会を得た（編集部）日本で活動するあるAnonymousの声 PlayStation Networkの事件から日本でも名前を広く知られるようになった「Anonymous」。この名がメディアで報じられるときは、ほぼ決まって「ハッカー集団」「クラッカー集団」という「枕詞」が付く。中には、「政府や主要企業などへのハッキングの第一線にいるグループ」と説明される場合もある。だが、多くのメディアにおける「Anonymous」の報道のされ方を見ると、さまざまな事件への関与を臭わせる内容がもっぱらで、彼（彼女）たち自身の活動を主軸としたものはあまり見かけない。【関連記事】 PlayS

ockeghem 2011/06/22

『誰でもなれます。特に誰の許可も必要ありません。何かのオペレーションがあり、それに賛同し、行動すれば、それはもうAnonymousです』

リンク

2011年5月版　収束見えないソニー関連の攻撃－＠IT

山本洋介山 bogus.jp 2011/6/9 ゴールデンウィークからあっという間に5月も終わり、祝日のない6月に突入してしまいました。しかし、PlayStation Network（PSN）における個人情報の大量流出に端を発したソニーのグダグダはまだ続いていて、なかなか収束しそうにありません。いつものように盛り上がるパスワードやエスケープ関連の話題の他、セキュリティ女子力に巫女テスターと、ちょっとだけIT業界の女子会ブームに乗っかっている感のあるセキュリティクラスタです。では、5月に起こったトピックのうち、気になったことをピックアップしていきます。ソニーは引き続き「脆弱性発見大会？」 4月末からセキュリティ界の話題をほぼ独占している感のあるソニーの情報流出事件ですが、侵入を受け、個人情報がダダ漏れしてしまったPlayStaion Network（PSN）のセキュリティ対策費用だけで1

ockeghem 2011/06/09

『ちなみにこの「丑丸本」の著者は、CTFなどで名を馳せるユシマロさんこと@ucqさんです。濃いバイナリ解析の著書が期待されているようですので、ぜひ！』

リンク

デバッグ情報にご用心！

「もいちどイチから！ HTTP基礎訓練中」でWebアプリケーションの脆弱性と対策について学んだクウが、今度はAndroidの世界に挑戦。Android特有の問題、PCや従来の携帯電話向けのWebアプリとの違いや対策について紹介します。（編集部）暗号化しているはずのパスワードが…… 勇んでAndroidアプリの開発に取りかかったクウだが、一度ならず二度までも、思わぬ穴を付かれてクウヤにパスワードを見られてしまった。果たして三度目の正直はなるのか……？クウ　「今度は完璧！ USBデバッグでの接続でも何でもやってみたまえ！」ユウヤ　「ほー、大した自信だな」クウ　「今度はちゃんと暗号化したのだ♪」ユウヤ　「まあ、見てやろう。貸してみ？」ユウヤは、クウのAndroid端末を自分のPCに繋ぎ、USBデバッグを使って端末内を調べ始めた。ユウヤ　「……うむ。確かに暗号化してあるな」クウ　「

ockeghem 2011/06/07

リンク

実は厄介、ケータイWebのセッション管理

実は厄介、ケータイWebのセッション管理：再考・ケータイWebのセキュリティ（3）（1/3 ページ） “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます（編集部）「Cookieを使えない端末」でセッションを管理する方法は？第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション（ケータイWeb）のセッション管理は、かんたんログインよりも対策が難しく、厄介な問

ockeghem 2011/05/26

公開されたようです/↓id:itochan そういう意味ではなくて、セッションタイムアウト後でもセッションIDが再有効化され、同じセッションIDのユーザが複数できることが問題です

リンク

NTTPCのクラウドサービスで障害、復旧時期は未定－＠IT

2011/05/13 NTT PCコミュニケーションズが提供するパブリッククラウドサービス「WebARENA CLOUD9」で、5月8日から障害が発生している。復旧の見込みは今のところ不明だ。 WebARENA CLOUD9は、IaaS型のパブリッククラウドサービス。米Verioと共同開発したクラウド基盤に日本向けのローカライズを加え、仮想サーバを提供している。同社が公開した情報によると、5月8日午前0時ごろに障害が発生し、すべての仮想サーバに接続できない状態となった。仮想サーバが起動できない事象も発生しているほか、顧客のデータに不整合が生じた可能性もあるという。原因はファイルシステムの不具合。当初は5月9日11時、次いで12日10時ごろの復旧を見込んでいたが、データ不整合解消のためのファイルチェックが難航し、想定を大きく上回る時間を要する状態になっている。復旧時期は未定で、データ復旧の

ockeghem 2011/05/14

『データ復旧の可否も含め、判明次第報告していくという』→リリース(http://htn.to/M69369 )出ました『お客さまデータ復旧について見込みが立ちました』

cloud

リンク

PSN Hacked――問題の根はどこに？

史上最大規模の個人情報漏えい事件 4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」（PSN）で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。記者会見によって明らかになったのは、以下のような事柄でした。漏えいした個人情報の内容システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた各サーバにはファイアウォールが設置されていたアプリケーションサーバの脆弱性を突かれたアプリケーションサーバに攻撃用ツールが置かれたアプリケーションサーバの攻撃用ツールからデータベースサーバ

ockeghem 2011/05/10

『HTTPSによる暗号化は…第三者攻撃（中間者攻撃、Man in the Middleともいう）を用いれば、いとも簡単に通信内容を取得することができます』<この表現は誤解を招く→修正されたがまだまだ…

リンク

「複雑すぎるパスワードポリシー」が生み出す問題とは－＠IT

2011/03/10 「パスワードポリシーはますます複雑化し、ユーザーの大きな不満の原因となっている。再発行などに対応するヘルプデスクの手間、コストも大きい」――。日本ベリサインは3月9日、認証ソリューションに関する説明会を開催した。米シマンテックのユーザーオーセンティケーション担当バイスプレジデント、アトリ・チャタジー氏は、パスワード認証にまつわる問題点をこのように指摘し、より強固で高度な認証が求められていると述べた。ベリサインは2010年9月から11月にかけて、フォレスターリサーチに委託し、企業における認証の現状について調査を行った。北米の306社を対象としたこの調査からは、パスワードポリシーがますます複雑化していること、それにともない企業のヘルプデスクの負荷およびコストが高まっていることが明らかになった。例えば、回答企業のうち87％では2つ以上の、27％は6つ以上のパスワードを

ockeghem 2011/03/11

実はもっと単純なパスワードポリシーでよいのだ、という結論を期待したが、やはり認証製品の宣伝だった。#wasbook はパスワードの説明も詳しいよ

リンク

スマートフォンで「できちゃうこと」って？

スマートフォンで「できちゃうこと」って？：イチから始める！ Android セキュリティ（1）（1/3 ページ）「もいちどイチから！ HTTP基礎訓練中」でWebアプリケーションの脆弱性と対策について学んだクウが、今度はAndroidの世界に挑戦。Android特有の問題、PCや従来の携帯電話向けのWebアプリとの違いや対策について紹介します。（編集部）やっぱ時代はスマートフォンだよね？クウはベンチャー企業で働くエンジニア。同僚のユウヤや開発チームのリーダー、ナツさんと一緒にWebアプリケーションの開発に携わる傍ら、勉強会に顔を出してはWebアプリのセキュリティについて知識をためてきた。そんな彼が次に興味を持ったのは……。クウ　「Androidアプリできたよー♪」ユウヤ　「ん？なんでそんなん作ってんの？」クウ　「お勉強のために自分で作ったのだ♪ いまどきは、スマートフォン向けア

ockeghem 2011/03/05

リンク

間違いだらけの「かんたんログイン」実装法

今回は、そのかんたんログインの問題点について説明します。「契約者固有ID」を用いるかんたんログインかんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間

ockeghem 2011/03/01

『「グダグダSNS」という架空のSNSサイトを舞台にかんたんログインの問題点を説明し、最後に実施可能な対策を紹介します』

リンク

はてなブックマーク

タグ

ブックマーク / atmarkit.itmedia.co.jp (174)

お知らせ

今週のはてなブックマーク数ランキング（2024年8月第2週）

今週のはてなブックマーク数ランキング（2024年8月第1週）

月間はてなブックマーク数ランキング（2024年7月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス