■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
アイルランドの市民権も持つサンフランシスコの著名な詩人で、世界中にファンがいるWilliam Talcott氏が、骨髄のがんのため6月に亡くなった。そのときTalcott氏の娘は、同氏の知人の大半にその死を知らせることができなかった。それというのも、Talcott氏のメールアカウントとオンラインのアドレス帳がパスワードでロックされていたからだ。 ビートニク(ビート族)Neal Cassadyの友人だったTalcott氏(69)は、どうやらパスワードも墓の中に持って行ってしまったようだ。 これは、残された遺族にとって厄介な問題であり、最近多くなってきている。生活、アドレス帳、予定表、財務情報の管理をオンラインに移行する人たちが増えている。そうした人たちは、フォルダやデスクトップに生前しまいこんだ情報を2度と復元できなくなる危険を冒している。言い換えれば、セキュリティ上の脅威となるパスワードの
5日から都内で開幕したセキュリティカンファレンス「Black Hat Japan 2006 Briefings」の初日、「外部からのイントラネット内のWebサイトハッキング」と題し、WHITEHAT SECURITY創業者兼CTOのJeremiah Grossman氏が講演を行った。米国のBlack Hatでの講演と同じものなので、そちらも参考にしてほしいが、ここでは実際の攻撃手順を紹介したい。 Jeremiah Grossman氏 Grossman氏の講演のポイントは、ファイアウォールで守られているはずのイントラネット内にある機器やサービスのWebインタフェースが攻撃対象になりえる、というもの。 プリンタやファイルサーバ、開発マシン、IP電話、グループウェアなどがその対象となり、設定に使うWebインタフェースはイントラネット内からしかアクセスできないことが前提だ。 しかしGrossm
日立製作所は、PC向けの小型指静脈認証装置「日立指静脈認証装置」と既存のアプリケーションとの連携が可能な認証サーバソフトウェア「指静脈認証管理システム」をリリースした。 日立製作所は10月10日、PC向けの小型指静脈認証装置「日立指静脈認証装置」を発表した。同時に、既存のアプリケーションとの連携が可能な認証サーバソフトウェア「指静脈認証管理システム」もリリースし、10月12日より販売を開始する。 指静脈認証は、指紋や光彩などと並んで広く利用されているバイオメトリクス認証の1つだ。バイオメトリクス認証はIDとパスワードの組み合わせに比べ、なりすましや偽造が困難で、より強固な本人認証を可能にする。また管理者の観点からは、パスワードの管理や再発行に関連する負荷が軽減する点がメリットだ。 中でも指静脈認証は、指紋認証に比べ、非接触で利用できるため利用者の抵抗が少ないことが特徴。また、体内にある特徴
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
JavaScript このエントリーに含まれるスクリプトには、セキュリティ上の問題があることが確認されています。補足修正エントリである以下もご確認ください。 脆弱性、全てのサイトでGM_xmlhttpRequestを使う、解説と回避 unsafeWindowからGM_xmlhttpRequestを使いクロスサイトで通信を行う件、コメント頂き気になって試してみました。 以下のコードで、通信が行えることを確認しました。脆弱性がありそうなので、コンセプトコードです。 // ==UserScript== // @name Global Greasemonkey XMLHTTPRequest // @include http*://* // ==/UserScript== unsafeWindow.gmXMLHTTPRequest = function(req){ var apiKey = getA
2006年10月03日09:06 【警告】Googleカレンダーで情報流出? カテゴリインターネット kinkiboy Comment(12)Trackback(10) 無防備な人が多いには驚きます。Googleカレンダーで、まるでソーシャルブックマークみたいに公開設定をしている人が何人もいます。実に詳細な仕事のスケジュールが公の場にさらされており、このことを私どもの会社のスタッフが気づき、ぜひこのブログで警告してあげて欲しいというリクエストがありました。 見てみると、その人の所属する会社、どのような仕事をしている人かだけでなく、取引先の会社や仕事内容までわかってしまうものがありました。このことが取引先に知れたら信用問題になるでしょうし、関係者が見れば大変な情報でしょう。わかる人が見れば進行しているプロジェクト内容も推測できます。人がどのように動いているのかはトップシークレットのひとつであ
先日、私は自宅のデジタルビデオとデジタル写真をバックアップするためのディスク容量を十分に確保しようと思い、新しいハードディスクを買って自宅のLinuxサーバーに増設した。保存しようとするすべてのファイルを1つのハードディスクに移動し、新しいバージョンのLinuxにアップグレードするために古いハードディスクのパーティションを切り直した。オペレーティングシステムの再インストールを終えた後、バックアップハードディスクをマウントしたわけだが、そこで中身が空だということが判明した。どういうわけか、全データをバックアップしたハードディスクと、消去するハードディスクとを取り違えてしまったのだ。こうして外部メディアへのバックアップを失敗したおかげで、写真とビデオのバックアップをすべて失ってしまった。 私はしばらく呆然としていたが、なんとか立ち直り、ファイル復元の方法を探すことにした。失ったファイルやパーテ
スパムメールの画像化が進んでいるということだ。ビーコン的な画像じゃなくて、本文が画像。 スパム対策ソフトによる検知が、テキストのスパムよりはるかに難しいとのこと。そりゃそうだ。CAPTCHAなんかも、画像処理して文字を認識するのは機械には難しいから登場したわけで、画像だけポンと入ったメールがスパムかどうかは見つけにくそうだ。 そんな画像だけのメール、開かなければいいのに、と思ったけど、家族や友達が画像だけの写真を送ってくるというのは結構あることらしい。そうなんだ? YouTubeなどの動画サービスでは、サイトのURLや商品名などの広告を入れた動画も増えてきてるけど、こちらは面白さもないと話題にならない==見る人が増えないことから、宣伝入りでも楽しめればいい、という受け入れられかたもある程度ありそうだが、スパムメールの広告は開いたときにはもう負けだものなあ。 この記事は移転前の古いURLで公
_ CSRF対策 0.13.0にもCSRF対策のコードはとくにないようだ。 MLの議論を追ってなかったのだが、結局アプリケーション側で対策する べしということだろうか。 まず、ApplicationControllerとApplicationHelperに以下のような記述をしておく。 app/controller/application.rb: class ApplicationController < ActionController::Base private def validate_session if @params[:session_id_validation] == @session.session_id return true else render(:text => SESSION_VALIDATION_FAILED_HTML, :status => "403 Forbi
LoginEngineとは? LoginEngineは RailsEnginesの一種で、Railsアプリケーショ ンにユーザ認証の機能を付加するためのものです。 Engine とは、Railsアプリケーションに(既存のコードを変更することなく)い ろいろな機能を付加するプラグインです。 もともと SaltedHashLoginGeneratorという名前でジェネレータとして提供されていたものを Engine として再実装したのが LoginEngine です。 SaltedHashLoginGeneratorとは? SaltedHashLoginGeneratorを使ってみるのページを参照。 なお、LoginEngineもLoginGeneratorも使わずに認証機構を実装した例が、 RailsでWikiクローンを作る10 にありますので、そちらも参考にしてください。 LoginEngi
星野君の会社では7月に人事異動が行われた。その結果、星野君は、いままでいた7階のWeb担当チームから6階の技術担当で新設されたセキュリティグループへと移ることになった。とはいっても、星野君がWeb担当で行っていた仕事をセキュリティグループで行うという形になっただけで、仕事の内容がまったく変わるというわけではなかった。 高橋さん 「あ、赤坂さん。それ、始めるのもうちょっと待ってね。お客さんからの連絡待ちになってるから」 赤坂さん 「はーい」 セキュリティグループは、高橋さんがリーダーでほかに数名という小さなグループだ。その中に赤坂さんもいる。 Web担当にいたころもうすうす気付いてはいたが、高橋さんがほとんど席にいなかったのは主に技術担当のフロアで仕事をしていたからだったようだ。さすがに星野君も1日の大半の時間を喫煙所で過ごしているといううわさはおかしいと思っていた。事実、技術部門へ席が移っ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く