うごメモはてな はてなのXSS脆弱性を発見したのでメモ。 http://ugomemo.hatena.ne.jp/movies?sort="><script>alert("XSS")</script>XSSは、クエリの値に xxx>\"'%0Aと入れて、Firefoxのソース表示でxxxで検索して壊れてる部分を探すとすぐ見つかる。 参考文献: http://d.hatena.ne.jp/xor0x35/20090327/p1
Linuxで稼動させているApacheにて認証が必要なWebサービスに、Windowsドメイン(Active Directory)の認証情報を使って、シングルサインオンを実現させるまでの手順を備忘録として残しておきます。 今回、ブラウザは、IEとFirefoxにて動作確認を行いました。 Windowsドメインログオンをしているクライアントから、上記2種類のブラウザを使うと、NTLM認証※を利用しているWebサービスには、認証済みのドメインログオンの情報を利用することができ、ユーザ名やパスワードを入力する必要の無いシングルサインオン環境が実現できます。 ※NTLM認証(NT LAN Manager authentication)とは - IT用語辞典 e-Words 前提 今回利用した構成は以下のような感じ。 Webサーバ CentOS 5 Apache 2.2 + mod_auth_ntl
Warning: Use of undefined constant user_level - assumed 'user_level' (this will throw an Error in a future version of PHP) in /home/rontan/www/wp-content/plugins/ultimate_ga_1.6.0.php on line 524 以前画面キャプチャアドオン「Screengrab!」をご紹介しましたが、 それとあわせて使うことで、とても便利なアドオンをご紹介します。 Webページのキャプチャに、人には見せたくない情報(ログインIDや個人情報)が入っている場合に、画像編集ソフトでぼかしをかけたり、マスキングしたりし、見えなくすることがあるかと思います。 そんな手間を減らしてくれるのがこのアドオン「PageHacker」。 なにやらこわ
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
Googleで採用されているパスワードの強度確認チェッカーみたいなものを作ろうぜ!という流れで、『作ってみた』という人が現れた。 パスワードを入力するごとにJavaScriptによってフォームを監視し、ゲージでお知らせしている。 ちょっとした小技として使えそうですね。 ダウンロードは以下からできます ページ下部の方。 設置方法はとても簡単 自分のところにとりあえず設置してみましたがとても簡単です。 http://e0166.com/jq/sample20/ <form id="myform"> <script type="text/javascript" src="pwd_strength.js"></script> <input type="password" id="mypassword" name="mypassword" onkeyup="runPassword(this.valu
あるとき、コンピュータを普通に使えるという程度の人が、ハードドライブを接続してみたところ、ディスクの中身に簡単にアクセスができ、なんとそこから奇妙な写真ばかり出てきました。 元の持ち主は足フェチで、たくさんの足の写真がダウンロードされていたのです。その人の名前や住所、アドレス帳もそのまま出てきたので、悪意のある人が見たら、脅迫する材料になってしまいますね。 ハズカシイやらオソロシイやら...。 もちろん、他人のデータを盗み見るのは悪いことですが、見られる状態にしておいたとしたら、自分にも落ち度があったといえますよね。 まずは自分で自分のデータを守ることから始めてみましょう。 ■ ファイルを削除するとはどういうことなのか そもそも、データはどのように保存されて、削除したらどうなるのかということを理解していますか? 多くの人は、削除したらもうなくなる、と思っていますが、そうではないのです。たと
以前、ITmedia Biz.IDでも紹介されていた、「Dropbox」 と 「TrueCrypt」 を組み合わせて Dropbox で扱うファイルを暗号化する方法ですが、周りでも結構仕事で Dropbox を使う人が増えてきたみたいですので、ここらでもう少し詳しく、この暗号化から同期して利用するまでの手順を紹介してみようと思います。 暗号化ソフト TrueCrypt は開発が終了し、公式サイトにおいて BitLocker への移行が推奨されています。 以前、ITmedia Biz.IDでも紹介されていた、2GB まで無料で使えるオンラインストレージ、「Dropbox」 と、フリーの暗号化ソフト、「TrueCrypt」 を組み合わせて Dropbox で扱うファイルを暗号化する方法ですが、私も DropBox 導入時からこの方法で一部のファイルを暗号化して同期するようにしています。 周りで
一般に、セキュアコーディングの基本として入力値の検証(Validation)をせよということになっていますが、これが変な方向に行くといわゆる「サニタイズ」のような手法になってしまいます。以前も指摘したように、アプリケーションとしてのValidationは仕様に従って行うべきものです。 ですが、概ねどの場合でも行うべき検証として以下があると思います。 文字エンコーディングの妥当姓 制御文字(\x00〜\x1f, \x7f)のチェック 文字列長のチェック このうち後ろ二つを正規表現として書くにはどうすればいいかを考えていました。つまり、「制御文字以外の文字でm文字以上n文字以下」というようなチェックです。m文字以上、n文字以下は、{m,n}で書けるので、問題は「制御文字以外の文字」です。これはtextタイプのinput要素で、かつアプリケーション仕様としては文字種の制限をしない場合を想定してい
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
セキュリティのためにPDFファイルにパスワードをかけたが、そのパスワードが一体何だったのかわからなくなってしまい途方に暮れてももう大丈夫。このフリーソフト「PDFCrack」を使えば辞書ファイルを利用したり、あるいは片っ端から総当たりでパスワードを試すことによって、正しいパスワードを解析して教えてくれます。文字の種類や文字数を制限したり、途中で中断してあとから続きをさせるといったことも可能なので、非常に有用です。解析できるパスワードはオーナーパスワード(いわゆる編集権限として印刷・内容の変更・内容の抽出に対してかけられたパスワード)とユーザーパスワード(閲覧に対してかけられたパスワード、開けようとするとパスワードが尋ねられるタイプ)の2種類となっており、ベンチマークも可能です。 もともとはLinux用のオープンソースのソフトなのですが、有志の手によってWindowsで動作するバージョンも提
今回から5回にわたって,アプリケーション全体に関する文字コードの問題と対策について説明する。文字コードがセキュリティとどう関わるのか,疑問に思うかもしれないが,Webアプリケーションで文字コードを指定可能な個所は非常に多く,しかも文字コードの選定や処理方法次第ではぜい弱性の原因になることが分かってきている(図1)。実は文字コードはWebアプリケーションのセキュリティ問題の最新の話題と言ってよい。 2008年10月に開催されたセキュリティ・イベントBlack Hat Japan 2008では,ネットエージェントの長谷川陽介氏が「趣味と実益の文字コード攻撃」と題して,文字コード問題の広範なプレゼンテーションを発表した 。そのプレゼンテーション資料が発表されている のでこの問題の詳細に関心のある方は参照されたい。ここでは,セキュアなWebアプリケーションを開発するために文字コードの問題をどのよう
IE・Firefox・Opera・Thunderbirdに対応しており、リンク先のページが危険かどうかを判定してくれます。リンク先のコンテンツをチェックするのは「Dr.Web サーバ」が担当するため、常に最新のウイルスデータベースの利用が可能、しかも無料。なかなか使えるサービスなので、入れておくと安心かも。 IEとFirefoxでの使い方は以下から。 迷惑メール対策・アンチウイルス = Dr.Web for Linux・FreeBSD | リンク先のウイルス・スパイウェアをチェック! Dr.Web リンクチェッカー http://drweb.jp/support/link_checker.html ■リンクチェッカー for Microsoft Internet Explorerの場合 このページから「リンクチェッカー設定用レジストリファイル(日本語版)」と書いてあるリンクを右クリックして
pythonWinnyのノード情報(IPアドレスとポート番号)を復号するスクリプトをPythonで書いてみた。ソースコードは以下。自作のRC4暗号化モジュールを使用している。こことかにあるノード情報を復号すると面白いかも。しかしローカルIPアドレスを登録してる奴がいるのには驚いた。 #!/usr/bin/env python # coding: shift-jis import sys sys.path.append("rc4") import rc4 def binary(hexstring): result = [] for i in xrange(0, len(hexstring), 2): result.append(chr(int(hexstring[i:i+2], 16))) return ''.join(result) def decode_node(code): magic
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
第21回 TrueCryptで、Dropboxをもっと“セキュア”に使う:“PCで仕事”を速くする Dropboxは便利なオンラインストレージサービスだが、ファイルをオンラインにも置くことになるので、どうしてもセキュリティが気になる。そこで、暗号化ドライブ作成ソフトTrueCryptと組み合わせてセキュアに使ってみよう。 Dropboxといえば、(1)差分だけをほぼリアルタイムに高速バックアップ (2)複数のPC(MacもWindowsもLinuxも)でファイルを自動同期 (3)履歴自動保存で上書きしたファイルも復活可能 といった特徴を持つオンラインストレージサービス(こちらの記事参照)。年額99.99ドルで50Gバイト、2Gバイトなら無料で利用が可能だ。 しかしデータをオンラインにも置くことになるため、利用に当たってはそのセキュリティが気になる人もいるだろう。IDとログインパスワードだけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く