Mac OS Xの新たなハッキングコンテスト--主催者がリベンジ
ウィスコンシン州立大学のシステムエンジニアが、自分のMacに侵入してみろとハッカーに挑戦状を叩きつけた。 同大学のシニアシステムエンジニア、Dave Schroederは、このコンテストを米国時間6日に開始した。同氏によると、先ごろ行われた別のコンテストはあまりに簡単すぎたという。 Schroederはハッカーらに対し、Mac miniでホスティングされているホームページを改ざんしてみろと言っている。このマシンは、最新のセキュリティアップデートを適用したMac OS X 10.4.5が動作している。このシステムにはローカルアカウントが2つあり、SSHとHTTPがオープンな設定となっている。Schroederは自身のウェブサイトで、「これは、大半のMac OS Xマシンよりはるかにオープンな環境だ」と述べている。 SSH(Secure Shell)は、ネットワーク上にあるコンピュータへのログ
「脆弱性を生みやすいプラットフォームはどれだ?」,セキュリティ団体が実態調査
Webアプリケーションのセキュリティ対策を協議・普及する団体であるWAS(Web Application Security)フォーラムが,脆弱性を生みやすいプラットフォームがあるか否かを確認するため,Webアプリケーション・ソフトをサンプル抽出してテストしたことが分かった。「セキュリティ侵害事件が多発する中で,マイクロソフトは危険,Javaは安全--といった根拠のない“神話”が広まっている。本当のところを実証する必要性を感じた」(代表である奈良先端科学技術大学院大学 助教授 門林雄基氏)。 テスト対象は,Active Server Pages,PHP,Java,ASP.NETといった,異なるプラットフォームで動作するオープンソースの電子商取引パッケージ7製品。テスト内容は三つ。(1)まず,推奨される構成でパッケージをインストールして脆弱性テスト・ツールで検査した。これにより,プラットフォー
“本物”のSSL証明書を持つフィッシング・サイト出現
“本物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より) 米SANS Instituteや米Websenseは現地時間2月13日,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行されたSSL用サーバー証明書(デジタル証明書)を持つ偽サイトが確認されたとして注意を呼びかけた(関連記事)。 確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽
AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
脆弱なWebアプリケーションから脱却する5つのコツ
テスト項目 アプリケーションの開発において、テストは必須作業である。脆弱性の発生原因の1つは、このテストが不十分であるという点にある。Webアプリケーションの検査では、入力チェック漏れやサニタイジング漏れの検査を行うが、本来であれば、これらの検査は開発時のテスト工程で行うべきものだろう。 例えば、最近騒がれているSQLインジェクションについては、シングルクォート「'」の入力や、「' or 1=1--」といった文字列を入力した場合の反応をチェックするテストを行うとよい。SQLインジェクションは、これらの文字列の入力だけで確認できるわけではないが、少なくとも、これら文字列を入力した場合にエラーが発生したり、間違った動作をしたりしなければ、完璧ではないものの、最低限の目安にはなるだろう。実際のテストでは、脆弱性ごとの入力パターンをテスト項目に含めるようにすることを推奨する。 以下に簡単ではあるが
【レポート】Network Security Forum 2005 - 教科書で教えるべきWebサイトを安全に利用する秘訣 - 産総研・高木氏 (MYCOM PC WEB)
産業技術総合研究所 高木浩光主任研究員 日本ネットワークセキュリティ協会(JNSA)が主催したNetwork Security Forum 2005で、産業技術総合研究所の高木浩光主任研究員が、Webサイトの安全な利用について講演を行った。普段、開発者側の立場でWebアプリケーションの脆弱性などに関するセキュリティについて語ることの多い高木氏だが、今回は「思うところがあって」、Webサイトを利用するユーザー側の立場で語った。 「本当に伝えるべきことを誰も伝えていない」。高木氏はまずこう語る。ユーザー側がどんなところに気をつければいいのか、セキュリティベンダーはもとより行政も、そしてマスコミもそれを伝えていない、という。 たとえば行政によるウイルスなどの注意喚起では、「信用できる相手以外から送信されたメールの添付ファイルは開かない」「怪しいサイトには近づかない」といったことが対策としてあげら
「データベース」は2006年、サイトサービス指向の要に
「データベース」は2006年、サイトサービス指向の要に:インターネットサービスの新基準(1/2 ページ) 昨今、Webサイトで扱う情報量は増大の一途をたどっている。2005年、ブログはもちろんコンテンツ管理の根底を支えてきたのは「データベース」システムにほかならない。どのような効果があり、どのような運用ノウハウがあるのだろうか? ショッピングサイト運営から、簡単なアンケートページに至るまで、Webアプリケーションでは、入力されたデータを保存する仕組みが必要だ。簡単なデータであればテキストファイルとして保存できるが、検索性を高めるためには、データベース利用が不可欠になる。 オンライン・ムック「インターネットサービスの新基準」では、サービス構築・運用・管理にかかわるユーザーを対象にノウハウを解説してきた。インターネットサービス開設のために、何が必要なのか? いまトレンドとなっているものは何か?
「ウイルスにだまされるな!ファイルを開く前には拡張子の確認を」---IPA
コンピュータ・ウイルスの届け出先機関である情報処理推進機構(IPA)は12月2日,11月の届け出状況を公表した。ウイルスの発見届け出は3816件(10月は4071件),そのうち実害が報告されたのは6件(10月は11件)。IPAでは,ウイルスやスパイウエアに感染しないために,ファイルを開く前には拡張子をチェックするよう呼びかけている。 11月中の報告件数が多かったウイルスは,Netsky(907件),Mytob(529件),Bagle(296件)など。これらに限らず,11月下旬に出現して短期間に感染を広げたSober(133件)についても注意を呼びかけている(関連記事)。 報告件数が多かったウイルスは,いずれもメールで感染を広げる機能を持つ。IPAによると,メールに添付されたファイルなどをうっかり開いたために,ウイルスやスパイウエアに感染する事例が数多く報告されているという。 その対策方法と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
