Security 'Tokens' Take Hit
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://online.wsj.com/article/SB10001424052702304906004576369990616694366.html
SecurIDの安全性は本当に大丈夫なのか? - セキュリティは楽しいかね? Part 1
(2011/06/07 更新) RSAが今回の件について公式に発表をしました。ロッキードへの不正侵入の原因になったことを認め、顧客に対して SecurIDの交換などに応じる提案をしています。 この週末、アメリカで起きたロッキード・マーチン(Lockheed Martin)のネットワークに対する不正侵入が話題になっている。ロッキード・マーチンといえば、アメリカを代表する企業の一つであり、F22や F35などの最新鋭機を開発していることでも有名である。 そのロッキードで先週末にネットワークに対するリモートからの不正侵入が起きた。この件を最初に伝えたのは Robert X. Cringely氏*1。5/25のブログで、ある国防関連企業の話として、ネットワークで問題が起きたこと、ユーザーによるリモートアクセスを停止したこと、全てのユーザーのパスワードをリセットしたこと、SecurIDを数週間のうち
エフセキュアブログ : Mac OS Xマルウェアが本格化
Mac OS Xマルウェアが本格化 2011年05月26日22:31 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。 その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。 新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。 時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。 先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたG
(緊急)BIND 9.xのネガティブキャッシュ機能の実装上のバグによるnamedのサービス停止について
--------------------------------------------------------------------- ■(緊急)BIND 9.xのネガティブキャッシュ機能の実装上のバグによる namedのサービス停止について - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2011/05/27(Fri) 更新 2011/06/01(Wed) (ISC発表文書の更新を反映) --------------------------------------------------------------------- ▼概要 BIND 9.xのネガティブキャッシュの取り扱いには実装上のバグがあり、 namedのリモートからのクラッシュ(サービス停止)が可能であることが、 開発元のISCより発表されました。本脆弱性により、提供者が意図し
Webアプリケーション作った後のチェック表
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
エフセキュアブログ : プラウダがハッキング
プラウダがハッキング 2011年05月11日17:14 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン ロシアのメジャー新聞「プラウダ」 (Правда、すなわち「真実」)がハッキングされた。 サイトには目に見える変化は無い。そのかわり、Javaの脆弱性を介してユーザを感染させようとするエクスプロイトスクリプトをこっそりロードする。成功すれば、訪問者のコンピュータは、部外者がそのマシンにアクセスし、使用することを可能にするボットにヒットされる。 このような攻撃は非常に悪質だ。エンドユーザは長年の間、毎日同じニュースサイトに行き、それを信頼するようになる。そしてある日、そのサイトは危険なものになり、お気に入りのページを開いただけで、コンピュータを乗っ取られてしまう。 5年前は、このような大手サイトに侵入した場合、その連中はきまってコンテンツをすべて削除し、フ
エフセキュアブログ : 問題のある証明書
問題のある証明書 2011年05月10日02:40 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。 SSL証明書を持つことは、Webサイトのオーナーが、サイトのビジターに、自分が本当にオーナーであることを証明する一つの方法だ。大部分のインターネットユーザ、そして主要なインターネット会社でさえ、暗黙のうちに認証機関(CA)を信頼している。CAはSSL証明書をWebトラフィックの暗号化のために販売する。これにより、オンラインバンキングやショッピングなど、httpsコネクションを介してセキュアなトランザクションが可能になる。 しかし、現行の認証システムは1990年代に始まったもので、今日のインターネットの圧倒的な規模や複雑さにうまく
僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog
ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。 ホワイトリストの分類 私の調査によると、ホワイトリストは以下の3種類に分類されます。 許可されたものの一覧表(第一種ホワイトリスト) セキュリティ上安全と考えられる書式(第二種ホワイトリスト) アプリケーション仕様として許可された書式(第三種ホワイトリスト) 以下順に説明します。 許可されたものの一覧表(第一種ホワイトリスト) ホワイトリストというくらいですから、本来のホワイトリストは
Building the ultimate bad arse CUDA cracking server… | SecManiac.com
If you followed my blog post about a year ago , me and another one of my friends Josh Kelley (twitter: @winfang98) built a CUDA cracking server that consisted of an ASROCK overclocker motherboard and 4 GTX 295′s which was a nice accomplishment building it from scratch. This time around Josh and I wanted to outdo ourselves and built something a little more crazy. I have to caveat this though, we ch
パスワードにストレッチングは必要か。
ECナビさんのBlogを発端とした、パスワードの暗号強度を高めるためにストレッチングは行うべきかという専門家の方のつぶやきのまとめ。途中からパスワードの定期変更は不要なのかについても派生していっていますが、一緒にまとめました。
Secure Sockets Layer - Wikipedia
TLSは特定のアプリケーション層プロトコルに依存しないため、HTTP以外にも多くのプロトコルにおいて採用され、クレジットカード情報や個人情報、その他の機密情報を通信する際の手段として活用されている。 既存のアプリケーション層プロトコルでTLSを利用する場合、大きく2つの適用方式が考えられる。まずひとつは、下位層(通常はTCP)の接続を確立したらすぐにTLSのネゴシエーションを開始し、TLS接続が確立してからアプリケーション層プロトコルの通信を開始する方式である。もうひとつは、まず既存のアプリケーション層プロトコルで通信を開始し、その中でTLSへの切り替えを指示する方式である。切り替えコマンドとしてSTARTTLSが広まっているため、この方式自体をSTARTTLSと呼ぶこともある。 前者はアプリケーション層のプロトコルをまったく変更しなくてすむことが利点である。その反面、平文で接続を開始する
LastPass Vulnerability Exposes Account Details - Grepular
LastPass Vulnerability Exposes Account DetailsWritten 13 years ago by Mike Cardwell LastPass is a password manager that stores your website login details in an encrypted container, protected by a master password, and synced between your various browsers and machines. They provide browser plugins, and also provide a web interface for you to access and manage your credentials. They have both free an
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
シェア伸ばすAndroidを襲った「駆除できないウイルス」の恐怖 (1/2)
前回は、スマートフォンを狙うモバイルマルウェアの現状として、Symbian端末とiPhoneを狙う脅威の現状を紹介した。続いては、シェアを伸ばしつつあるAndroid端末を狙うマルウェアを見ていこう。 続々と登場し始めたAndroidの脅威 通常では審査済みのアプリケーションしか導入できないiPhoneと異なり、Androidは比較的アプリケーションの自由度が高い。アプリケーションの配布方法も自由度が高く、 審査なしのAndroidマーケットでの入手 インターネットからのダウンロード SDカードからのファイルコピー など、複数の方法でアプリケーションが入手できるのだ。 自由度の高さは利便性の高さでもあるが、危険度も高くなってしまう。Android向けのマルウェアは、まだ多くはない。しかし、マーケットは急速に広がっており、これを狙うマルウェアは必ず増えてくる。すでに、日本語マルウェアも登場し
IE8 XSS Filterの仕様が微妙に変更されていた。 - 葉っぱ日記
先日、Google 日本語入力のHTTPを見てた id:tokuhirom さんに、HTTPレスポンスヘッダに「X-XSS-Protection: 1; mode=block」というのが含まれるというのを教えてもらったけど、"mode=block" というのが何か分からなかったので調べてみた。 結論としては、今月3月のセキュリティ更新 マイクロソフト セキュリティ情報 MS10-018 - 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (980182) で追加された機能だった。 この累積的な更新プログラムには、そのほかのセキュリティ関連の変更が含まれますか? この更新プログラムには X-XSS-Protection HTTP ヘッダーへの多層防御の更新が含まれています。具体的には、新しい "mode=block" 構文により、非継続的な誘導によるクロ
HTTP Strict Transport Security - Wikipedia
HTTP Strict Transport Security (HSTS) is a policy mechanism that helps to protect websites against man-in-the-middle attacks such as protocol downgrade attacks[1] and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should automatically interact with it using only HTTPS connections, which provide Transport Layer Security (TLS/SSL), unlike the in
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
これからの「パスワード」の話をしよう