PiTaPaのサイバーノーガード宣言 - とある技術屋の戯言
PiTaPaの話のまとめ。 要するにPiTaPaの言っていることは「社会通念上問題のある方法で情報が取得されたり目的外利用され、その結果不正に登録が可能だとしてもシステムの問題ではない」ということです。通常考えられる不正には対策していると言いますが、システムを利用を認められたものが正規の方法で使う事以外はすべて「社会通念上問題がある」と言えるのですから、不正行為の一切が「システムの問題ではない」事になるでしょう。 つまるところこれはサイバーノーガード戦法そのものです。 よそで現に問題が起きているのに対策する気はないと言うのもサイバーノーガードが基本にあるからでしょう。 不正登録についてはある程度自衛できるのですが、セキュリティホールがらみ、例えばSQLインジェクションがあってデータをごっそり抜かれました、とかいうのは自衛しようがないので困ったものです。もちろん、こういうことがあっても「社会
「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem's blog
昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました 現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パ
Exploits of a Mom
xkcd.com is best viewed with Netscape Navigator 4.0 or below on a Pentium 3±1 emulated in Javascript on an Apple IIGS at a screen resolution of 1024x1. Please enable your ad blockers, disable high-heat drying, and remove your device from Airplane Mode and set it to Boat Mode. For security reasons, please leave caps lock on while browsing.
jp.co.sharp.android.lifelog.database.LifeLogServiceは何をしているのか?
goroh_kun @goroh_kun LifeLogのAndroidManifestのダンプ http://t.co/M6pkMoqy さまざまなパーミッションを要求している。 apkの署名をみるとSharpのものであることが分かる。 goroh_kun @goroh_kun LifeLogのAndroidManifest.xmlによると、jp.co.sharp.android.lifelog.permission.USER_LL_DATABASEというパーミッションを持っているユーザーがこのサービスに対して要求を出すことが可能。 goroh_kun @goroh_kun LifeLogのAndroidManifestないではUSER_LL_DATABASEは定義されていないことから、別の場所で定義されていることが分かる。簡単に言うと、LifeLog.apkを見ただけでは意味がなくて、
ソルトもストレッチングも両方必要 - passingloopの日記
ある条件のもとでパスワードを守るには、ソルトもストレッチングも両方必要です.本当は怖いパスワードの話 (1/4):ハッシュとソルト、ストレッチングを正しく理解する - @IT がその理由の良い解説になっているのですが,4 ページに分かれていて長いので Q&A 形式でまとめてみました. ここからの話の前提として,システムに侵入され root 権限を取られたときのことを考えています. ソルトとストレッチングが必要な理由 Q. パスワードを暗号化でなくハッシュで保存するのはなぜか? A. 暗号化されたパスワードは復号鍵で容易に復元できるから パスワードを暗号化しただけでは,「root 権限の奪取」即「パスワードの流出」となってしまいます.技術的な注意を怠っていたとか過失があるとか非難されても仕方がないレベルです. Q. 単純なハッシュではなくソルトやストレッチングを使うのはなぜか? A. ユーザ
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
オフィス向けセキュリティサービス:株式会社日立ビルシステム
【魚拓】音楽・動画 | サービス・機能 | NTTドコモ