hatena は今すぐSPF宣言しましょう。 - pen2 の日記
どうやら hatena は SPF宣言してないみたい・・・!! 「え?SPF?なにそれ?何のこと?」ってな方が多いとおもいます。 紫外線から守ってくれる奴ではありません。 SPFとは電子メールの送信ドメイン認証のひとつで、「このドメインからはこのIPアドレスでメール送るよ!」とDNSに書いておく方法です。yahooメールやgmailなどのSPF認証に対応した受信サーバではメールを受信すると、"Envelope From"のドメインでDNS TXTレコードを引きます。ここに送信サーバのIPが列挙してあるので、そことセッションIPを比較すれば、なりすましたメールかどうかを簡単に見分けられると言う技術です。 http://ja.wikipedia.org/wiki/Sender_Policy_Framework これを宣言していないと「なりすましメール」かどうかの判定ができません。今はまだそれほ
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
サーバにDoS耐性を付ける - stanaka's blog
ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。 そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。 というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設
SQLインジェクションを考える 第1回:SQLインジェクションとは何か
3月以来、世界中の多くのインターネットサイトが、悪意のユーザーによるSQLインジェクション攻撃に遭い、被害を出していることが報じられている。SQLインジェクションとは何か、またなぜこのように流行し被害が広がったのか、被害を防ぐにはどうすればいいのか、3回にわたり考えてみたい。 ● SQLインジェクションとは何か SQLインジェクションによる攻撃では、不正なスクリプトをWebサイトに埋め込むことで閲覧したユーザーのPCにウイルスを感染させたり、あるいはサーバーから不正に情報を盗み取られるというような被害が発生している。 通販サイトなどでは、攻撃により利用者のクレジットカード情報が盗み取られたことが発覚し、個人情報が漏洩したお詫びとして、ユーザーに対して金券や現金を配布することになったサイトもあるなど、その被害は金銭的にも大きくなっているようだ。 SQLインジェクションとは簡単に言うと、Web
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
ウイルスバスターで有名なトレンドマイクロのサイトにウイルスが侵入して閉鎖中
3月9日21時頃から3月12日11時30分までの間にトレンドマイクロの「ウイルスデータベース」の一部にアクセスすると、なんとウイルスに感染する状態になっていたとのこと。この期間の間にウイルスデータベースのウイルスに感染したページを見てしまった人はウイルスに感染した可能性があるため、パソコン内部を全スキャンした方が安全です。 詳細は以下から。 弊社ウイルス情報ページの改ざんについて | 会社情報 : トレンドマイクロ 現在、改ざんされてウイルスが埋め込まれていたページを含む以下のサイトはまるごと閉鎖されています。 ウイルスデータベース http://www.trendmicro.co.jp/vinfo/ 感染した可能性のあるウイルスは「JS_DLOADER.TZE」というマルウェアで、ダウンローダの一種。ZDNet Japanによると、攻撃の手法としてはiframeタグの挿入によって別のサイ
LAMPセキュリティを強化する4つの方法:CodeZine
はじめに Apache HTTPサーバーのセキュリティは、少なくともLinuxやその他の適切なUnix系オペレーティングシステムで実行している限りにおいては、信頼できます。しかし、今や平凡な静的な読み取り専用Webサイトは絶滅危惧種となりました。最近では、LAMPと呼ばれる一連の技術(つまりLinux、Apache/Lighttpd、MySQL/PostgreSQL/SQLite、Python/PHP/Perl/Ruby)を使って動的Webサイトを提供するのが一般的になっています。これは進歩であるとも、ないとも言えます。 私個人は、平凡な静的HTMLの日々が好きでした。今と比べてブラウザのHTMLサポートやサイトの質に疑問が多かったとはいえ、少なくとも、エラーを吐き散らす役立たずの巨大なスクリプトを実行して私のコンピュータを過労に追い込んだり、ときには完全に固まらせてしまうことはありません
利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
おごちゃんの雑文 � Blog Archive � クラックされた
もう昨日(正確には一昨日か)の話になるのだけど、このサーバがクラックされた。 今までのクラックのパターンは、特定一般ユーザにbrute force attackをくらって、フィッシングサイトを構築されたりボットを埋め込まれたりだったのだが、今回はいきなりrootを奪われる。 どうやらrootを奪われたらしいと気がついた時に「なんかsecurity holeが?」と思ってrootkitを調べると、ない。「はぁ? 未知のexploit手段が?」とか思っていたのだが、どうやらそうでもなくて、 普通にrootを奪われて いた。いろいろ設定を調べると、sshの設定が「rootのログインOK」「パスワード認証可能」になっていた。後者は一般公開しているサーバだという事情からしょうがないのだが、前者はさすがにいただけない。こいつらがコンボだと「頑張れば普通にrootが奪える」からだ。実際それをやられた。
公開Webサーバのセキュリティは大丈夫ですか?
公開Webサーバのセキュリティは大丈夫ですか?:目指せ! ネット時代の幸せな管理者(3)(1/3 ページ) インターネット上で公開するWebサーバのセキュリティは、サービスの安定的な運用という点からも重要だ。こうしたサーバのセキュリティはどう確保していけばいいのだろうか。 前回は、会社のインターネット接続について、セキュリティの視点でご紹介しましたが、今回は、インターネット公開サーバ、特にWebサーバのセキュリティについてお話ししたいと思います。 企業の情報システム管理者の皆さんの中には、会社の顔となる企業Webサイトを運用されている方も多いと思います。また、カスタマーサポートやお問い合わせ窓口などの機能を持っているWebサイトを担当されている方も多いことでしょう。 悪意を持った攻撃を受けてWebサーバがダウンした場合、通常のハードウェア障害と比較して、復旧までの時間は非常に長いものとなり
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書|脆弱性診断.jp