[B! security] passingloopのブックマーク

passingloop id:passingloop

securityに関するpassingloopのブックマーク (8)

オフィス向けセキュリティサービス:株式会社日立ビルシステム
passingloop 2012/03/10
既存の ID カードにシールをはるだけでカードを IC カード化。もう Suica を使って入退出管理や出席管理しなくてもいい。個人情報保護の観点からもこちらのほうが安全で、低コストになる可能性もある。

security
リンク
PiTaPaのサイバーノーガード宣言 - とある技術屋の戯言
PiTaPaの話のまとめ。要するにPiTaPaの言っていることは「社会通念上問題のある方法で情報が取得されたり目的外利用され、その結果不正に登録が可能だとしてもシステムの問題ではない」ということです。通常考えられる不正には対策していると言いますが、システムを利用を認められたものが正規の方法で使う事以外はすべて「社会通念上問題がある」と言えるのですから、不正行為の一切が「システムの問題ではない」事になるでしょう。つまるところこれはサイバーノーガード戦法そのものです。よそで現に問題が起きているのに対策する気はないと言うのもサイバーノーガードが基本にあるからでしょう。不正登録についてはある程度自衛できるのですが、セキュリティホールがらみ、例えばSQLインジェクションがあってデータをごっそり抜かれました、とかいうのは自衛しようがないので困ったものです。もちろん、こういうことがあっても「社会
passingloop 2012/03/06
サイバーノーガード戦

security

pitapa
リンク
「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem's blog
昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パ
passingloop 2012/02/29
システム管理者から外れた人がパスワードを知っている状態を作らないようにパスワードを変更するというポリシーは同意見

security
リンク
Exploits of a Mom
A webcomic of romance, sarcasm, math, and language. Special 10th anniversary edition of WHAT IF?—revised and annotated with brand-new illustrations and answers to important questions you never thought to ask—coming from November 2024. Preorder here!
passingloop 2012/01/08
security
リンク
jp.co.sharp.android.lifelog.database.LifeLogServiceは何をしているのか？
goroh_kun @goroh_kun LifeLogのAndroidManifestのダンプ http://t.co/M6pkMoqy さまざまなパーミッションを要求している。 apkの署名をみるとSharpのものであることが分かる。 goroh_kun @goroh_kun LifeLogのAndroidManifest.xmlによると、jp.co.sharp.android.lifelog.permission.USER_LL_DATABASEというパーミッションを持っているユーザーがこのサービスに対して要求を出すことが可能。 goroh_kun @goroh_kun LifeLogのAndroidManifestないではUSER_LL_DATABASEは定義されていないことから、別の場所で定義されていることが分かる。簡単に言うと、LifeLog.apkを見ただけでは意味がなくて、
passingloop 2011/12/06
security

privacy

sharp

android
リンク
【魚拓】音楽・動画 | サービス・機能 | NTTドコモ
passingloop 2011/10/20
のメディアプレイヤーの HTTP リクエストに IMEI が埋めこまれている仕様

security

docomo
リンク
ソルトもストレッチングも両方必要 - passingloopの日記
ある条件のもとでパスワードを守るには、ソルトもストレッチングも両方必要です．本当は怖いパスワードの話 (1/4)：ハッシュとソルト、ストレッチングを正しく理解する - ＠IT がその理由の良い解説になっているのですが，4 ページに分かれていて長いので Q&A 形式でまとめてみました．ここからの話の前提として，システムに侵入され root 権限を取られたときのことを考えています．ソルトとストレッチングが必要な理由 Q. パスワードを暗号化でなくハッシュで保存するのはなぜか？ A. 暗号化されたパスワードは復号鍵で容易に復元できるからパスワードを暗号化しただけでは，「root 権限の奪取」即「パスワードの流出」となってしまいます．技術的な注意を怠っていたとか過失があるとか非難されても仕方がないレベルです． Q. 単純なハッシュではなくソルトやストレッチングを使うのはなぜか？ A. ユーザ
passingloop 2011/10/11
元記事の「本当は怖いパスワードの話」というタイトルは損をしていると思う http://www.atmarkit.co.jp/fsecurity/special/165pswd/01.html

security
リンク
情報処理推進機構：情報セキュリティ：脆弱性対策：安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。「安全なウェブサイトの作り方」改訂第7版の内容第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティング等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
passingloop 2011/08/19
ipa

security

textbook
リンク
1