第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
第6回■異なる文字集合への変換がぜい弱性につながる
文字集合自体は抽象的な「文字の集まり」に過ぎないので単独で問題になることはないが,異なる文字集合に変換する際には問題が発生する場合がある。文字集合が異なるということは,対応する文字が1対1対応していないので,変換先の文字集合で対応する文字がないケースや,多対1の対応が発生する可能性がある。 図1に,Unicodeからマイクロソフト標準キャラクタセットに変換する場合を例示した。マイクロソフト標準キャラクタセットには「骶」(尾てい骨の“てい”)や,ハングルなどはない。また,バックスラッシュ「\」(U+005C)と円記号「\」(U+00A5)がともにJIS X 0201の「\」(0x5C)に変換される場合について示している。 「漢」のように1対1対応している文字は問題ない。ハングルや「骶」のように対応するコードポイントがない場合はエラーになるか文字化けする。インターネットで「尾 骨 びていこつ」
第5回■注目される文字コードのセキュリティ問題
今回から5回にわたって,アプリケーション全体に関する文字コードの問題と対策について説明する。文字コードがセキュリティとどう関わるのか,疑問に思うかもしれないが,Webアプリケーションで文字コードを指定可能な個所は非常に多く,しかも文字コードの選定や処理方法次第ではぜい弱性の原因になることが分かってきている(図1)。実は文字コードはWebアプリケーションのセキュリティ問題の最新の話題と言ってよい。 2008年10月に開催されたセキュリティ・イベントBlack Hat Japan 2008では,ネットエージェントの長谷川陽介氏が「趣味と実益の文字コード攻撃」と題して,文字コード問題の広範なプレゼンテーションを発表した 。そのプレゼンテーション資料が発表されている のでこの問題の詳細に関心のある方は参照されたい。ここでは,セキュアなWebアプリケーションを開発するために文字コードの問題をどのよう
ケータイユーザーの“本音” 女子高生に聞いた10代後半のケータイ事情
日本のケータイブームの一端は、女子高生が担っていると言われている。ケータイ小説やケータイSNSなどにいち早く飛びついたのも、デコメールやケータイの音楽再生機能を真っ先に使い始めたのも、女子高生だ。彼女らは、小学生、中学生のころからケータイを使いこなし、いわゆる「モバイルインターネット」に物心付いたころから親しんでいる。ある意味、ケータイを“母国語”同然に操っていると言えるだろう。 では、“最先端”の女子高生は、一体どのようなケータイライフを送っているのか。今回は、学校卒業を間近に控えた首都圏在住の女子高生4人に集まってもらい、それぞれのケータイ事情をざっくばらんに語ってもらった。座談会からは、ケータイを“外国語”として身につけた世代からは分からない、“女子高生特有の感覚”をつかむことができるはずだ。もちろん、彼女らは決して女子高生全員の意見を代表しているわけではないし、統計データ通りの行動
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
GREE、モバイルからのアクセスが100億PV突破--mixiと同水準に
グリーは3月2日、運営するSNS「GREE」のモバイルからのアクセス数が2月に100億ページビューを突破したと発表した。テレビCMなど積極的にプロモーションしたことや、オリジナルコンテンツを拡充したことでユーザーのコミュニケーションが活性化されたことが要因だという。 グリーによれば、利用者順に掲載されるiモードのメニューリスト内の「コミュニティ/SNS」カテゴリにおいても、1月の集計の結果、GREEがトップになったとのこと。 GREEのアクセス数は、2月時点でモバイル経由が100億ページビューであるのに対し、PC経由は1億3000万ページビューとなっている。また、ライバルの状況を見ると、2008年12月時点でモバゲータウンは158億4500万ページビュー(モバイルのみ)、mixiはモバイル経由が101億3000万ページビュー、PC経由が41億7000万ページビューとなっている。
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは