yebo blog: Apple AirPlayの秘密鍵がハックされた
2011/04/12 Apple AirPlayの秘密鍵がハックされた ソフトウェア開発者のジェームズ・レアード(James Laird)氏は、AirPort ExpressのROMをリバースエンジニアリングして秘密鍵を取り出す事に成功、AirPort Expressのエミュレータを「ShairPort」と言う名前でオープンソースとして公開してしまった[macrumors]。AirPlayのプロトコルはプロプライエタリだが、RAOP(Remote Audio Output Protocol)と呼ばれ、既にプロトコル自体は2008年にDVDJonが解析済みで、RTSPをベースにAESやRSAで暗号化(AirTunesEncryption)したApple Losslessストリームを垂れ流す感じで、公開鍵の方も公開されているため、クライアントは既に作られていた。今回、サーバ側の秘密鍵の取り出し
WebSocketにセキュリティの懸念。Firefox 4とOperaで機能を無効化へ
もともとHTML5の仕様の一部として検討され、現在は独立した仕様となったWebSocket。Webブラウザで柔軟な通信が行える機能として注目されていましたが、Firefox 4では、当面WebSocketのサポートを見送ることが発表されました。Operaでも同様に、デフォルトでWebSocketをオフにすることが発表されました。 原因はWebSocketプロトコルにセキュリティ上の問題が発生したため、とのこと。 WebSocketにはどのようなセキュリティ上の問題が発見され、影響はどういったところに及ぶのでしょうか? Mozilla Japanの浅井智也氏に解説をお願いしたところ、次のような文章を送っていただきました。 以下からは浅井氏による解説です。 なぜFirefox 4はWebSocketをサポートしないのか? 現在仕様策定途中のWebSocketプロトコルには重大なセキュリティ上の
Securing Coredata objects
I am working on an application which has got some sensitive information. I am aware that it would be difficult for a layman to hack into iphone to get the information. If I use SQLite directly I have something called SQLite Cipher to encrypt / encode the database. Is there anyway where I can have the same way of encrypting the coredata so it makes it hard for hackers to get into the data. Can some
パスワードの判定にstrcmpを使うべきでない理由
strcmpを使ってパスワードを判定すると、タイミング攻撃 (timing attack) にやられる危険性があることの説明 (約20分)。 まとめ: パスワードなどの文字列を strcmp関数 (およびそれに類する関数) を使って判定すると、 その判定にかかる時間を測定することで、パスワードが推測できてしまう場合がある。 これをタイミング攻撃 (timing attack) という。 この例では、36種類の文字を使った8文字分のパスワードを推測するのに、 通常のしらみつぶしな方法 (bruteforce attack) … 368 = 2821109907456回 の試行が必要なのに対して、 タイミング攻撃を使った方法 … 10000×8 = 80000回 しかかからない。タイミング攻撃を成功させてしまうと、 重要な情報が漏洩してしまう危険性がある。 これを防ぐためには、なるべく実行時間
yebo blog: Mac OS XやMozilla製品にある不明のルート証明書はユーザを危険に晒すので削除すべし
2010/04/07 Mac OS XやMozilla製品にある不明のルート証明書はユーザを危険に晒すので削除すべし The Register によると、Mac OS XやMozilla製品に組み込まれているルート証明書 "RSA Security 1024 v3" が RSA からのものではなく VeriSign のものでもないことが判明し、削除すべきだとの事(バグレポート、Google groups)。確かにMac OS Xのキーチェーンに該当するルート証明書がある。怖いなぁー OU = RSA Security 1024 V3 O = RSA Security Inc Valid From: 2/22/01 Valid To: 2/22/26 SHA1 Fingerprint: 3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:B
iPhoneのパスワード強化方法 – 数字4桁のパスワードは危険 - EC studio 社長ブログ
iPhoneはとても便利で今や手放せないデバイスですよね。 ただ、依存度が上がれば上がるほど、セキュリティリスクが高くなります。 iPhoneの大きな問題の一つに、ログイン認証のパスワードが 数字4桁であることです。人に見えないように隠しながら打てばいいのですが 無防備にパスワードを打ってる方を良く見かけます。 もしその4桁の数字が銀行のキャッシュカードのパスワードと同じだったりすれば それはお金を引き出せる情報を一般公開しているのと同じです。 EC studioではiPhoneを全員に支給していますので、このパスワード問題は 情報漏洩リスクにもつながります。 そこでEC studioでは全スタッフのiPhoneパスワードは英字を含めた 5桁以上のパスワードへ強化するように対策しています。 ——————————————————————— Appleの製品は実はこんな機能があったんだというこ
きまぐれ日記: sudo のGUIダイアログはセキュリティ的に大丈夫なのか?
UbuntuやMac OSXを使っていると、権限の高いオペレーションを実行しようとしたときに、ユーザのパスワードを要求するダイアログが起動します。毎回ハイハイと思いつつ入力しているのですが、ふと考えるとこのセキュリティモデルというかユーザビリティー的に大丈夫なのかどうかと思うようになりました。 例えば、インストーラーでダミーのパスワードダイアログを表示させればマルウェア作者はユーザのパスワードを取り放題だし、OSのファイル保存ダイアログをクラックして、適当なファイル保存のタイミングで同ダイアログを出せば、無知なユーザはホイホイパスワードを入力してしまうのではないでしょうか。Webサイトのフィッシングと全く同じ話です。 このダイアログはそもそも CUIプログラム sudo のラッパーにすぎません。しかし、話はそんなに単純ではありません。CUIの場合は、ほとんどの操作が「能動的」なために、su
mixi Engineers’ Blog » OpenSSLの暗号文をJava/Perl/Rubyで開く
秘密鍵やプライベートな情報などを秘匿するためにパスワードでデータを暗号化・復号したい場合があります。このとき、暗号化と復号するアプリケーションが同じであれば簡単ですが、例えばCで暗号化してJava、Perl、Rubyで復号するといった風に異なるプラットフォームで暗号データをやりとりする場合には、いくつか気 をつけなければいけないポイントがあります。 OpenSSLによる暗号化 OpenSSLはWebサーバのSSL/TLSサポートに利用されますが、その他にも付属しているopensslコマンドから基本的な暗号アルゴリズムを利用できます。次のような簡単なコマンドで、パスワードを使ってデータを暗号化したり復号したりすることができます: $ echo 'Hello World!' | openssl enc -e -aes-128-cbc > cipher.txt enter aes-128-cbc
セキュリティーの問題です。(頭の体操だと思って気楽にお答え下さい) ノートPCの紛失時の漏洩に対応するために 起動時のBIOSパスワードをかけよ。…
セキュリティーの問題です。(頭の体操だと思って気楽にお答え下さい) ノートPCの紛失時の漏洩に対応するために 起動時のBIOSパスワードをかけよ。という会社指示があったとします。 1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか? 2.代案としてどのような案がありますか? 3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これからの「パスワード」の話をしよう
クラッキングママ
Keychain Services 調査 (1) 情報収集