定期的なパスワード変更の効果有無まとめ - pochi-pの絵日記
自由研究の季節 夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。 今回は「総当たり対策」以外の視点でパスワードの定期的変更の効果を検証します。 このまとめは気が向いたらテキトーに項目を追加&編集していきます。まだまだ完成版ではありません。 大前提 ・ユーザーが自主的に定期的変更するのもいいが、パスワードに関してはまず設定可能文字数を大きくする・使用可能文字種を増やすのが最初の一歩です。 ・サイト側がユーザーに定期的変更を強制すると、ユーザーは結果的に強度の弱いパスワードを使いがちなので強制は良くない。*1 ・サイト側での保存方法には必ずハッシュ化+ソルト+ストレッチングを設け、秘密の質問の様なゴミは使わない事。 ・変更タイミングの基本は とします。その上で例外的
なぜiOSでUDIDが必要とされていたのか、メモ - snippets from shinichitomita’s journal
iOSやその開発事情に詳しいと言える状態にはないので、調査を兼ねて書く。 Apple Sneaks A Big Change Into iOS 5: Phasing Out Developer Access To The UDID – TechCrunch http://wirelesswire.jp/Watching_World/201108221335.html 上記の「iOSでUDIDの利用が禁止」というニュースを聞いた時、正直TL上にこんなにいっぱい反応が貼り出されるとは思っていなかった。さすがにUDIDをいじるのはまずいよね、っていうコンセンサスは開発者の間では常識的部類に入ってくるのだろうと楽観的に捉えていたのかもしれない。 以下、なぜUDIDがそのようにスマートフォン開発者に利用されてきたのかについて、調べた限りでまとめてみた。 アプリケーションのサーバとのセッション保持 い
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
ハッカージャパンブログ セキュリティ業界 Twitterおすすめフォローリスト
こんにちはハカ子です ハッカージャパン3月号では「一歩先行く Twitterの使い方」という記事を掲載し、本誌読者向けの他とは違ったTwitterの使い方について解説しています。 「Twitterボットを作ってみよう」では、Rubyを使ったボットの作り方を紹介。特にモーションセンサーと組み合わせたボットは必見の記事です。 その他にも、HJ読者にお勧めのWebサービスをピックアップした「Twitterサービス7選」やTwitter上で発生した事件やその回避方法を分析した「Twitterトラブル対策ガイド」、そして「セキュリティ業界 おすすめフォローリスト」といった記事を載せています。 今回「セキュリティ業界 おすすめフォローリスト」のリスト部分を、以下アップしております。 記事内では、どのような基準でリストをピックアップしたか、情報の探し方、執筆者であるtessy氏のTwitterサービス紹
Port801セキュリティ勉強会の資料 - nothing but trouble
箇条書きテキストしか用意していなかった。超適当 Webアプリケーションセキュリティ初歩の初歩 〜はまちやの傾向と対策〜 はじめに どうセキュリティに取り組むべきか 脆弱性の殆どは、境界で起きる 基本はバリデーションとエスケープ バリデーション そのシステムで予期しているデータのみ受け入れる エスケープ 出力先に応じて適切な出力を送る 出力先での特殊文字に注意する でも、IEとか バッドノウハウ的に対応せざるを得ないものがある CSSXSS的なのとかContent-Type判別を利用した攻撃とか 当然、自システム内での脆弱性の作り込みには注意する Cなんかでは、Buffer Overflowとか作り込みやすいよね バッドノウハウ/グッドラッパー 金床さんの文章 http://www.jumperz.net/texts/bkgw.htm 脅威のカテゴリ Spoofing(なりすまし/偽装) T
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
Comodo Firewall @ Wiki
アップデート情報 リリースノート ( excite翻訳 ) COMODO公式フォーラム ( excite翻訳 ) 2010-05-07 主要な総合セキュリティソフトを評価する Proactive Security Challenge が更新された。テスト項目が 更新され ランキングが混乱していたが、CISはなお100%のスコアを維持している。 2010-04-13 COMODO Internet Security 4.0.141842.828がリリースされた。アップデートはCIS4ユーザーに通知される。このリリースには不完全な翻訳と思われる言語が搭載されておらず、それにより日本語も搭載されていない。以前からのアップデートの場合はそのまま日本語表示が利用できる。( 以前の日本語言語ファイル ) 2010-03-25 COMODO Internet Security 4.0.138377.77
最強のパスワードを作る 第4回 管理編:ポイントは「安全にメモ」と「使い分け」:ITpro
せっかく苦労して作ったパスワードも忘れてしまっては意味がない。前回までの「強化編」では、手軽なパスワード強化方法と作成方法を紹介したが、それでも、慣れるまでは忘れる恐れがある。たまにしか使わないパスワードならなおさらだ。 システムの都合(記号が使えないなど)で、いつもとは異なるルールでパスワードを生成した場合や、一度に複数作った場合も要注意。人の記憶は、思いのほか当てにならないものだ。作ったときには「これなら忘れない」などと思っても、しばらくしたら忘れてしまうことがある。 「そういったことが続くと怖いのが、『悪魔のループ』だ」(セキュリティフライデーの佐内氏)。悪魔のループとは、パスワードの忘却と、パスワードの単純化を繰り返すこと。強いパスワードを作っても、忘れてしまうことで、「次からは、覚えやすいようにもっと簡単なパスワードにしよう」と考えて、単純なパスワードにする。そして、そのパスワー
佐伯 幸子氏:“危機管理時代”の知的護身術 / SAFETY JAPAN [佐伯 幸子氏] / 日経BP社
安全生活アドバイザー。 1992年より「知的護身術」を提唱して、女性や弱者のための護身・防犯・危機管理に関する調査、研究を続け、執筆および各地での講演活動を行っている。 インターネット「オールアバウト防犯」ガイドとして犯罪対策や自己防衛策に関するタイムリーな情報発信のほか、産経新聞でコラム「きょうからできる簡単防犯術」執筆、日本経済新聞「暮らしの悩み プロが答える」回答などを連載中。 <主な著書> 『撃退! 女性のための防犯マニュアル』(実業之日本社) 『親子で覚える徹底安全ガイド』(主婦の友社) 『これで撃退、ストーカー最強対処術』(実業之日本社) 『ひとり暮らし安全マニュアル』(実業之日本社) 『父が娘に読ませたい「安全作法」の心得』(中経出版) 『ヘンな人、危ない人から身を守る』(並木書房) ※なお「佐伯幸子調査事務所」とは一切無関係です。ご注意
個人でもできる情報漏洩対策 | OSDN Magazine
Winnyを介した情報漏洩の恐ろしいところは、いったん外に流れ出した情報を回収することが困難な点である。その恐ろしさは度重なる情報漏洩事件を通じて知れ渡っているようにも思うが、逆にその頻繁さゆえに世間の人々の感覚が麻痺してしまっている感もある。 さて、企業や団体は自組織が保有する情報が漏洩しないように外部からの侵入に備え、内部統制に努める義務がある。だが、そのような義務を負わない個人でも対策はしておいたほうがよい。特にショッピング・サイトを頻繁に利用し、ブラウザに各サイトでのユーザーIDとパスワードを覚えさせているような方は要注意だ。 そこでここでは、ファイルやファイルシステム(パーティション)、通信経路の暗号化といった個人レベルでも実践できる情報漏洩対策を紹介する。なお、以下の記事で紹介されているツールはLinuxユーザーを対象としたものがほとんどだが、TrueCryptのようにWind
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【関連記事インデックス】Android向けウイルス対策アプリまとめ 今年本誌で取り上げたベンダー12社の製品概要&ニュース記事一覧