securityに関するphiroseのブックマーク (16)

  • Google、マルウエアスキャン機能「Bouncer」をAndroid Marketに導入

    Androidアプリケーションのインストール時に表示される警告。左がGoogle Map、右がGmailの場合 米Googleは現地時間2012年2月2日、同社のモバイルプラットフォーム「Android」のセキュリティ対策として、Android向けアプリケーション配信/販売サービス「Android Market」にマルウエアスキャン機能「Bouncer」(開発コード名)を導入すると発表した。 Bouncerは、Android Marketにすでに登録されているアプリケーション、新規に登録されるアプリケーション、開発者アカウントに対して自動スキャンを行う。アプリケーションがアップロードされると既知のマルウエアが埋め込まれていないか分析するほか、疑わしい振る舞いを検出して過去に分析したアプリケーションと比較する。また、すべてのアプリケーションをGoogleのクラウドインフラ上で動作させ、And

    Google、マルウエアスキャン機能「Bouncer」をAndroid Marketに導入
  • http://www.machu.jp/posts/20110722/p01/

    http://www.machu.jp/posts/20110722/p01/
  • 脆弱性体験学習ツール AppGoat | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

    脆弱性体験学習ツール AppGoat 脆弱性体験学習ツール AppGoatとは 脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。 ウェブアプリケーションの脆弱性対策に必要なスキルを習得したい開発者やウェブサイトの管理者におすすめです。

    脆弱性体験学習ツール AppGoat | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
  • 高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生

    ■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。

  • Webブラウザのタブがいつの間にか詐欺サイトに、新手の攻撃を実証

    Webブラウザのタブがいつの間にか詐欺サイトに切り替われば、大抵のユーザーは気付かないままログイン情報を入力してしまうという。 Firefoxのクリエイティブを率いるエイザ・ラスキン氏は、Webブラウザのタブでユーザーが見ていたページをこっそり詐欺サイトに切り替え、ログイン情報を盗み出す新たな手口を報告している。同氏はこの攻撃を「タブナッピング」と名付け、解説・実証するページを公開した。 この攻撃では、ユーザーが普段からアクセスしているWebサイトを閲覧した後にしばらくそのままにしておき、別のタブで別のWebサイトを見ている間に、攻撃者がJavaScriptを使って最初のサイトのお気に入りアイコンをGmailのアイコンにすり替えてしまう。すると、「Gmail: Email from Google」のタイトルを付けて、Gmailのログインページに見せかけた画面を表示することができてしまうとい

    Webブラウザのタブがいつの間にか詐欺サイトに、新手の攻撃を実証
  • 高木浩光@自宅の日記 - 10年前にもあった「IDで認証できる幻想」

    ■ 10年前にもあった「IDで認証できる幻想」 今の若い人たちは知らないかもしれないが、21世紀が訪れたばかりの2001年8月、こんなことがあった。 JPNICがメールマガジン発行, スラッシュドット・ジャパン, 2001年8月28日 JPNICがメールマガジンの発行を始めたところ、なぜか「郵便番号住所氏名電話番号までも記入させる欄がある」というニュースだったのだが、実際にそれを登録してみて、「登録情報更新」の画面へ行ってみたところ、以下のようになっていて、腰が抜けそうになったのだった。

  • PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな

    タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!

    PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
    phirose
    phirose 2010/02/20
    わかってないことをわかってないのは問題
  • パスワードリマインダーの実装を考える - Scrapcode@はてなダイアリー

    サイト運営者の視点で、パスワードリマインダーの実装について考えてみます。 (1) 登録メールアドレスに生パスワードを送信する アチコチでよく見かけますが、パスワードの扱いが軽すぎます。 メールを盗聴されるとパスワードが漏れます。パスワードの使い回しが少なくないと思われる現在、該当サイトだけでなく他のサイトもアカウントを乗っ取られる危険性があります。 また、該当サイトではデータベースに生パスワード、もしくは復号可能なパスワードを保存している事になります。万が一該当サイトのサーバーがクラックされた場合、データベースのデータと復号方法まで一緒に漏れる可能性があります。 (2) 登録メールアドレスにランダムな仮パスワードを送信する メールを盗聴されるとその仮パスワードを使ってログインされ、アカウントが乗っ取られます。パスワードを変更されてしまうとどうしようもなくなります。 盗聴者より先にログインし

  • Winnyサイトブラウザ "Nyzilla" - Download

    発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(

  • iPhoneのゲームが無断で電話番号を収集-海外で集団訴訟 | インサイド

    iPhoneのゲームが無断で電話番号を収集-海外で集団訴訟 | インサイド
  • サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

    「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し

  • セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性

    iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送

  • 「PCでは見えないはず」に頼ることの危険性

    “特殊だ”と形容されることの多い日の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhoneAndroid端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通

    「PCでは見えないはず」に頼ることの危険性
  • Webアプリの入力検証不備──4つの実例とその対策

    Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。 ログインIDが含まれたURL これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住

    Webアプリの入力検証不備──4つの実例とその対策
  • IPA-安全なウェブサイトの作り方2021年改訂第7版.pdf

    phirose
    phirose 2009/11/11
    PDF
  • 「わざと脆弱性を持たせたWebアプリ」で練習を

    命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ

    「わざと脆弱性を持たせたWebアプリ」で練習を
  • 1