パスワードの話本講演の経緯 第1回神泉セキュリティ勉強会 にて, パスワードの保存(10分)の話を講演 @ikepyon さんから講演の依頼 時間は1時間 ご要望を満たすために 「パスワードの保存」の話をして, その後その他のテーマの話をします. 参考文献 man 3 crypt Manpage of CRYPT CRYPTOGRAPHY ENGINEERING ISBN-13: 978-0470474242 認証技術 パスワードから公開鍵まで ISBN-13: 978-4274065163
How to upload arbitrary file contents cross-domain
on security, malware, cryptography, pentesting, javascript, php and whatnots Update: Since publishing details of this technique it has been used to exploit CRSFable file upload forms on Facebook , Flickr, Imgur, minus.com, Tumblr.com and others. It seems that many file upload forms lack anti CSRF tokens. HTML5, together with its sister specifications (XMLHTTPRequest level 2, File API etc.) has a r
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Dropbox Attempts To Kill Open Source Project | Razor Fast
Yesterday morning I woke up much earlier than I wanted. Instead of lying in bed, wishing I was asleep, I decided to get up and check out Hacker News. Better to waste my time reading industry news than lying around. One headline in particular caught my attention: “Dropship — successor to torrents?“. The name was an obvious reference to Dropbox and the suggestion it could replace torrents was ent
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
米Dropboxが自社サービスの脆弱性を利用するコードに対しDMCAによる削除を要請、問題に | OSDN Magazine
オンラインストレージサービス「Dropbox」を提供する米Dropboxが、公開されているオープンソースソフトウェアのソースコードに対しデジタルミレニアム著作権法(DMCA)の仕組みを利用して削除を求めたことが問題となっている。 コンサルタント会社米Passive.lyの創業者、Dan DeFelippi氏が4月25日、自身のブログで問題の一部始終を紹介した。Dropboxはオンラインでファイルの共有ができるサービスだが、オランダの開発者Wladimir van der Laan氏が「Dropboxがファイル管理に使用しているハッシュスキーマの脆弱性を用い、自分が所有権を持っていないファイルを自分のファイル領域にコピーするPythonコード」を「Dropship」という名称でgithubで公開、これをHacker Newsが紹介したことがきっかけという。 しかし、DeFilippi氏のブロ
IEのローカルファイルをXHRでどこまで読みとらせるか - 葉っぱ日記
ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech を読んでの補足。 IE9 on Windows 7 においてXHRを使ってローカルファイルを読み取る場合について、「許可するとやりたい放題」と書かれているとおり、IEが表示する警告をいったん「許可する」側に選択するとhtml内の JavaScript (あるいはVBScript)において通常のローカルのプログラムと同様にあらゆる操作が可能になります。(写真は英語版IE9) これは、IE6 / XP SP2 以降で導入された「ローカルコンピュータのロックダウン」が解除された状態になり、WSHやHTAと同様に、ローカルリソースへのアクセスや任意のActiveX Objectの生成を含め任意のコード実行が可能な状態になったということです。 ローカルに置い
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ComodoHacker's Pastebin - Pastebin.com
create new paste / syntax languages / archive / faq / tools / night mode / api / scraping api / news / pro privacy statement / cookies policy / terms of service / security disclosure / dmca / report abuse / contact By using Pastebin.com you agree to our cookies policy to enhance your experience. Site design & logo © 2024 Pastebin We use cookies for various purposes including analytic
Comodo事件はどのようにして起こったのか? - セキュリティは楽しいかね? Part 1
先月、大手 CAの Comodoが外部からの攻撃によって、偽証明書を発行してしまうという事件が起こった。本記事では、この事件の問題点の整理、攻撃手法の詳細、改善策の状況などについてまとめたいと思う。 何が起こったのか? Comodoは認証局(CA)を運用し、SSLで利用される公開鍵証明書の発行などを行っている大手プロバイダの一つ。security spaceの 2010年3月のマーケットシェア調査によると、9%程でシェア5位につけている。(ちなみに GeoTrust, GoDaddy, Verisignの上位3社で50%以上を占める、寡占業界である。) その Comodoが 3/23付けの自社ブログにおいて、登録局(RA)の一つが外部から侵入されて、不正なSSL証明書が発行されてしまったことを明らかにした。(侵入が起きたのは 3/15のこと。) SSL認証局が偽の証明書を発行、大手サイトに
Evernote の XSS 脆弱性に関して mala 氏のつぶやき
要するに、解決されるまではログアウトしとけということだそうデス。 【2011/04/20 12:20 追記】ひゃっはー的なおまけを追加しました。 【2011/04/20 00:30 追記】多分これで最後。以降は Evernote の正式発表を待った上で、それを信用して利用するかどうかは各個人の判断にお任せします。 【2011/04/19 17:05 追記】午後の部追記。なお、エントリを起こされている方がおりましたのでご紹介。>『bulkneets氏によって報告されたEvernoteのXSS脆弱性とは 危険と対策』( http://d.hatena.ne.jp/pichikupachiku/20110419/1303158373 ) 続きを読む
エフセキュアブログ : 最古のコンピュータウイルス作成者にミッコが直撃インタビュー
最古のコンピュータウイルス作成者にミッコが直撃インタビュー 2011年03月15日09:30 ツイート risa_ozaki 東京発 by:尾崎 リサ コンピュータに感染するウイルスが初めて発見されたのは、1986年でした。 世界初のウイルスの名はBrain。 これは、5.25フロッピーディスクのブートセクタを感染させるMS-DOS向けに書かれたウイルスで、フロッピーディスクドライブの動作を遅くさせ、7KBほどのメモリーを使用できなくするという単純なものでした。 7KBなんて・・とおもいましたが、その当時の7KBはけっこう貴重なリソースだったそうです。 累計100,000個ものフロッピーディスクが感染したということです。 Brainには、パキスタン在住の作成者の連絡先が含まれており、1986年から25年の歳月を経た2011年2月、エフセキュアのセキュリティ研究所で主席研究員 (CRO)
エフセキュアブログ : エジプト、FinFisher侵入ツールそして倫理
エジプト、FinFisher侵入ツールそして倫理 2011年03月08日18:17 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。 2日前、エジプト・ナスルの抗議者たちがエジプト国家保安本部を占拠した。 本部内で、抗議者達は多くの国家機密書類にアクセスした。 それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。 注:我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる[pdf、1.3MB]。 「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売さ
エフセキュアブログ : 「SHA-1+salt」はパスワードに十分だと思いますか?
「SHA-1+salt」はパスワードに十分だと思いますか? 2011年02月09日17:39 ツイート fsecure_corporation ヘルシンキ発 by:ジャルノ・ネメラ アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム「rootkit.com」をハッキングした。「rootkit.com」の全ユーザパスワードに障害が起きている。 この件に関連して、アプリケーションセキュリティで気に入っているトピック、すなわちパスワードハッシュについて指摘したい。 Web(およびその他の)アプリケーションが、ユーザパスワードのハッシュにMD5、SHA1またはSHA-256を使用しており、先進的なデベロッパさえ、そのパスワードをsaltしている。そして私は長年に渡って、salt値はどの
Javascript Security
It's time to deprecate JavaScript. It's security model and the language itself are appalling. As data moves into the cloud the JavaScript threat is increasing and I believe the only way to fix this is to start all over again. The 14 year old language and security model aren't up to today's threats.Read less
携帯電話向けWebにおけるセッション管理の脆弱性
1 Web Session Management Vulnerabilities in Mobile Web Application * Hiromitsu Takagi Web HTTP ID ID ID 1 1999 NTT i i Web ID ID URL URL ID i EZaccess KDDI EZweb HTTP X-UP-Subno ID EZweb Web ID Web ID EZweb [1] * , 101-0021 1-18-13 1003 , National Institute of Advanced Industrial Science and Technology, Akihabara-Daibiru Room 1003, 1-18-13, Sotokanda, Chiyoda-ku, Tokyo 101-0021 JAPAN X-JPhone-UID
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
X-Content-Type-Options: nosniffのつけ方 | へぼい日記
Apache mod_headersでできます Header set X-Content-Type-Options nosniff Nginx add_header X-Content-Type-Options nosniff; 但し、上記だとproxyなんかで既にX-Content-Type-Options: nosniff;が付いていると X-Content-Type-Options: nosniff, nosniff のようなヘッダになってしまう。問題ないかもしれないが気になる場合はNginxHttpHeadersMoreModuleを使って more_set_headers 'X-Content-Type-Options: nosniff'; とすると良いのかも。 Plack Plack::Middleware::Headerを使うと簡単です。 enable 'Header', s
FBI Alleged To Have Backdoored OpenBSD's IPSEC Stack - Slashdot
Posted by kdawson on Tuesday December 14, 2010 @07:36PM from the all-your-vpn dept. Aggrajag and Mortimer.CA, among others, wrote to inform us that Theo de Raadt has made public an email sent to him by Gregory Perry, who worked on the OpenBSD crypto framework a decade ago. The claim is that the FBI paid contractors to insert backdoors into OpenBSD's IPSEC stack. Mr. Perry is coming forward now tha
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20071023/p01/