華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
クラウドを支えるこれからの暗号技術
zk-SNARKs are zero-knowledge succinct non-interactive arguments of knowledge that allow a prover to convince a verifier of a statement without revealing details. They work by converting a function and its inputs/outputs into a quadratic arithmetic program (QAP) represented as polynomials. This allows a verifier to efficiently check a proof generated by the prover using techniques like Lagrange int
Dockerの諸問題とRocket登場の経緯
2014年の後半あたりからDocker,Docker Inc.への批判を多く見かけるようになった(もちろんもともと懸念や嫌悪を表明するひとはいた).それを象徴する出来事としてCoreOSチームによる新しいコンテナのRuntimeであるRocketのリリースと,オープンなアプリケーションコンテナの仕様の策定を目指したApp Containerプロジェクトの開始があった. CoreOS is building a container runtime, Rocket 批判は,セキュリティであったり,ドキュメントされていない謎の仕様やバグだったり,コミュニティの運営だったり,と多方面にわたる.これらは具体的にどういうことなのか?なぜRocketが必要なのか?は具体的に整理されていないと思う.これらは,今後コンテナ技術を使っていく上で,オーケストレーションとかと同じくらい重要な部分だと思うので,ここ
世界のメールの暗号化はたった一人の男に依存しており、開発資金はゼロになってしまっているという衝撃の事実が判明
世界中のジャーナリストやセキュリティ関連に敏感な人、さらにはエドワード・スノーデン氏のような内部告発者までもが使用している、無料のメール暗号化ソフトウェアが「GNU Privacy Guard(GPG)」です。この暗号化ソフトを1997年からたった一人で開発してきたのがヴェルナー・コッホ氏で、彼が置かれている厳しい現状をProPublicaが明かしています。 The World’s Email Encryption Software Relies on One Guy, Who is Going Broke - ProPublica http://www.propublica.org/article/the-worlds-email-encryption-software-relies-on-one-guy-who-is-going-broke ソフトウェアエンジニアのコッホ氏がGPGの開
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
社内プロキシに虐げられてる人たちはVPSとか借りて社外にプロキシ立ててsshトンネルで繋ぐとウハウハですよってお話 - Qiita
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
Wiresharkで公衆無線LANのヤバさを確認してみた
私(@honeniq)の個人ブログです。日々の生活の中で感じた諸々のことから、 人さまにお見せできるような上澄み部分を抽出して投稿しています。 前置き ここ数年の携帯キャリアやコンビニ業界の頑張りで、町中に公衆無線LANのAPが溢れていますが、あれって安全なんでしょうか?盗聴される的な観点で。 パスワード無しのノーガードAPは論外としても、 契約者にだけWPAキーを教える((けど、利用者が多すぎて公開しているも同然の))タイプ APにはキー無しで入ることができ、Webアクセスをすると認証ページにリダイレクトするタイプ よく見かけるこの2タイプもやヤバそう。 試してみる前の認識 無線である以上は、自分が飛ばした電波は誰でも傍受できる。じゃあ暗号化して中身が分からないようにしましょう、ってなるけど、1つ目のタイプみたいに不特定多数の人が同じWPAキーを知っている場合、暗号化してもあんまり意味な
警察からの問い合わせ電話にこたえるにあたって - davsの日記
警察からの照会電話がたびたびかかってくる職場で働いていたことがある。 警察からの照会だからこたえることが許される、あるいはこたえなければならない照会が多かったのだが、必ず守らなければならないルールがあった。 それは、その電話ではこたえず、一旦、電話を切ることだった。その後、ネットなりで警察本部や警察署の代表番号を調べて、回答の電話をかけるのだ。それはもちろん、警察をかたる電話を警戒してのことだが、この警察からの問い合わせへの回答ルールには続きがあった。 問い合わせ電話の担当を把握していても、その人物を電話口に呼び出さず、「こういう照会があったのですが、担当者を失念しました。問い合わせされたのはどなたですか」というのだ。これは、照会者が真正な警察官であっても、公務でない照会をしていることを恐れるためだ。乱暴な要約をすれば、悪徳警官でないかを心配しているということだ。前段の警察の代表番号にかけ
Wireshark入門 (2014版)
2014年10月31日開催「ネットワーク パケットを読む会 (仮)」でのセッション「いま改めて Wireshark 入門」の発表スライドです。 Wireshark の利用方法について、インストールから初期設定、パケットキャプチャの開始とフィルタリングまで解説しています。
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
『運転免許証をコピーさせていただきますね。』は断固、拒否できる!身分証明書をコピーさせないことで、個人情報漏洩から身を守ろう。 - クレジットカードの読みもの
個人的にまったく知らなかったのですが、携帯電話申込や入会手続きなどをする際に言われることの多い『運転免許証をコピーさせていただきますね』は、断ることが出来るんですね。 下記の記事より引用させてもらいます。 免許証や保険証など身分証明書は悪用できるのでコピーさせないのが個人情報漏洩対策になる - はぴらき合理化幻想 金融機関、携帯電話ショップ、市役所などでは手続きの際に身分証明書をコピーしたり番号を控えさせてとよく言われる。応じる義務はない。提示して担当者に見せればOK。余計な情報を提出しても百害あって一利なし。 コピーだけでなく番号記録も拒否できる: 記事によると身分証明書のコピーだけでなく、その番号を控えることすら拒否をしても良いらしいです。今までなにも疑問を持たずに応じていた自分は、個人情報漏洩についてまだまだ対策不十分だったと言えますね。 転出入の度に役所に行った。その時に身分証明書
Basic認証とOAuth - Qiita
Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut
暗号通貨(Bitcoin, Monacoin)のプロトコルを理解する: 公開鍵と秘密鍵 - Qiita
概要 近年、Bitcoin, Litecoinに代表される暗号通貨が(良くも悪くも)大きな話題を呼んでいます。暗号通貨は現在混沌を極め、これまで数百もの派生通貨(Altcurrencies)が乱立している状況ですが、ここ日本でも最近「Monacoin」と呼ばれる日本発の派生通貨が誕生し、2chの片隅で密かに盛り上がりを見せています。この著者はその中で、「Monapay」と呼ばれる、いわゆる暗号通貨版gumroadのウェブサービスを運営している者です。 以前、ふとした気まぐれで私は次のような形のゲームを提案し、2chに貼り付けました。 宣伝+暇つぶしがてらに賞金付きのゲームをやりたいと思います。内容は「俺のmonacoinを盗んでみろ」 M9WJPA8npJQEwcxXwvzKHwWz5msQfEKzf5 いま、こちらのアドレスに10MONAを入金しました。実際に入金されたかどうかはAbeで
初心者Webアプリケーション開発者がチェックすべき情報源2014 - ハニーポッターの部屋
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。 去年は手を広げすぎてかえって反応が悪かったので、最低限のものに絞ってみた。 上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。 必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。 書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載。 「HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」を追加。 ■重点 ★Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html LASDECなどで公開されていたウェブ健康診断仕様が別冊に加わ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プードルも結構だけど、クッキーにセキュア付いてますか?
他人事ではないWebセキュリティ
TechCrunch | Startup and Technology News
あなたのハッキングスキルを試すことができる『Game of Hacks』 | 100SHIKI
