Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 - 岩本隆史の日記帳(アーカイブ)
Rails 2系のXSS脆弱性を修正するパッチが先日公開されました。 4日(米国時間)、Ruby on Railsの2系すべてのバージョンにXSSの脆弱性があることがRiding Rails: XSS Vulnerability in Ruby on Railsにおいて発表された。特定のUnicode文字列を使ってチェックをくぐり抜け、任意のHTMLを送り込まれる危険性がある。なおRuby 1.9系で動作しているアプリケーションはこの影響を受けない。 http://journal.mycom.co.jp/news/2009/09/07/048/index.html この件に関して、大垣さんは次のように説明しています。 RoRの脆弱性に関連してRuby1.9では安全、と解説されていますが、それはRuby1.9は不正な文字エンコーディングを受け付けないからです。 何故かあたり前にならない文字エ
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
本当は怖い文字コードの話 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
窓の杜 - 窓の杜に収録していた「Glary Utilities」および「Glary Undelete」旧バージョンのウイルス感染について
窓の杜に収録していた「Glary Utilities」および「Glary Undelete」旧バージョンのウイルス感染について 両ソフトを窓の杜や作者のWebサイトからダウンロードした方は、パソコンのウイルスチェックをお願いします (09/08/22) 窓の杜ライブラリにおいて8月6日から8月19日まで収録していた「Glary Utilities」v2.15.0.728、および7月22日から8月19日まで収録していた「Glary Undelete」v1.4.0.211について、“W32.Induc.A”などと呼ばれるウイルスに感染していたことが、8月21日に明らかになりました。また、両ソフトのこれ以前のバージョンや、同作者製の別ソフトにおいても、同様のウイルスに感染していた可能性があります。 8月21日時点の最新版であり、同日時点で窓の杜ライブラリに収録している「Glary Uti
svchost.exeなど各プロセスやサービスの動きと正体がわかるフリーソフト「Process Hacker」
タスクマネージャでよく見かける「svchost.exe」が一体何なのか気になっている人も多いと思いますが、このフリーのオープンソースソフト「Process Hacker」を使えば各プロセスやサービスの正体がわかるだけでなく、CPU使用率やネット経由で通信しているかどうかなども把握できるようになります。Windows標準のタスクマネージャと入れ替えることも可能で、かなり細かい各種情報が取得できるため、非常にお役立ちです。タスクトレイにCPUやメモリなどのグラフを常に小さく表示させることもでき、監視間隔を短くすることで普通では把握できないプロセスなども捕まえることができます。 ダウンロードとインストール、実際の使用方法は以下から。 SourceForge.net: Process Hacker - Project Web Hosting - Open Source Software http:
ガラパゴスの片隅でドンキホーテ扱いされないために - 雑種路線でいこう
id:shi3zの乱暴な物言いは彼の個性で別に不快ではなかった。id:lalhaの私を慮ったフォローは嬉しかったが、クズ云々で話がそれて大事な議論が途中で吹き飛んでしまったのは残念だ。しこたま金霧島やら赤霧島を飲んで酔っ払って論うには微妙な話題だし、僕も言葉足らずだった。僕もブログは正義を執行する道具として不向きだと感じているが、公開可能な範囲で考えていることを整理してネット界隈のフィードバックを得る道具としては、そこそこ機能するのではないか。 「ブログやら報告書やらを書いただけで"俺はやるべきことはやった”などと主張するのは自己満足もいいところだ。そんなもの、意思決定が実際に可能な人間は誰も読んでないし、意思決定が可能な人間にいくら技術的な話をしても無意味。それどころかそれを公然と指摘することで潜在的なリスクを増大させることが害悪だ」 僕は未知の脆弱性や未公表の脆弱性情報について、ブログ
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
はてなのCAPTCHAを破るプログラムは30分で書ける - やねうらおブログ(移転しました)
CAPTCHAとは、スパムコメントなどを防止するための認証画像のことである。 それにしても、はてなのCAPTCHAはひどい。無いよりマシという考え方もあるのでそれについてはあまり議論する気は無いのだが、それにしてもこれを破るプログラムは30分あれば十分書ける。 具体的には、はてなのCAPTCHAには8つの好ましくない特徴と、2つの脆弱性がある。 ■ 8つの好ましくない特徴 ・画像自体のサイズが小さすぎる。→ こんなに小さいと探索量(計算量)が小さくて済む。 ・フォントにゆがみがない → フォントはある程度変形させたほうが良い。変形させてあるとテンプレートマッチングがしにくくなる。 ・フォントが固定。→ フォントは毎回変えたほうが良い。 ・フォントを回転させていない → フォントは文字ごとにある程度ランダムに回転させた方が良い。 ・フォントサイズが一定 → フォントサイズは文字ごとにある程度
OSのプロセスにあるsvchostって何なの? | 教えて君.net
「svchost.exe」はウインドウズを動作させる上で重要なプロセスで、複数起動しているのが普通の状態。だが、それをよいことに同じプロセス名で動作するウィルスも多数存在する。そこで、「Svchost Process Analyzer」を使ってsvchost.exeが管理するサービスを一覧を表示してみよう。それぞれのサービスの解説も表示されるため、怪しいものが動作していないかすぐに確認できるぞ。 ちなみに、このソフトはインストールも不要で、ダウンロードファイルを起動すれば即使えるというお手軽な仕様になっている。OSの挙動がおかしいときに使うといいだろう。 「Svchost Process Analyzer」を起動するとプロセスのスキャンが始まる スキャンが終わったら「Details」をクリックしよう svchost.exeが管理しているサービス一覧と解説が表示される
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
マイクロソフト、無料の新型アンチウイルスソフト「Microsoft Security Essentials」のベータ版を公開へ
マイクロソフトが無料の新型アンチウイルスソフト「Microsoft Security Essentials」のベータ版を公開することが明らかになりました。 また、現在提供されているアンチウイルスソフト「Windows Live OneCare」はサービスを終了するとのこと。 詳細は以下から。 Microsoft announces free antivirus, limited public beta - Ars Technica この記事によると、マイクロソフトはウイルスやスパイウェア、rootkit、トロイの木馬などの対策ができる無料の新型アンチウイルスソフト「Microsoft Security Essentials」のベータ版を6月23日に公開することを正式発表したそうです。 ベータ版は英語版とポルトガル語版の2種類が用意される予定で、公開当初は対象人数を7万5000人に限定して公
自由自在にMACアドレスを変更できるフリーソフト「AnalogX AnonyMAC」
Windows95/98/Me/2000/XP/Vista/7、要するにWindows95からWindows7までのすべてのバージョンのWindows上で動作するフリーソフトとなっており、各NICなどのファームウェアを書き換えることなく各NIC(アダプタ)別にMACアドレスを変更することが可能となっています。変更する際はボタン一発でランダムに設定することができ、同じLAN内で稼働している別PCのMACアドレスをARPを用いて取得して表示してそれをコピーしたり、変更後にデフォルトのMACアドレスに戻したりすることも可能です。 これまでもMACアドレスを変更する方法はいろいろとありましたが、この「AnalogX AnonyMAC」はフリーソフトとしては非常に機能が充実しており、なおかつ簡単に使える、というのがポイントです。 ダウンロードと実際の使い方は以下から。なお、すべて自己責任で行ってくだ
窓の杜 - 【NEWS】フリーの統合セキュリティソフト「COMODO Internet Security」が日本語化
米Comodo Security Solutions, Inc.は13日(現地時間)、フリーの統合セキュリティソフト「COMODO Internet Security」v3.9.95478.509を公開した。本バージョンでは、有志らによるメニューなどの翻訳が行われ、新たに日本語をはじめとする19カ国語に対応した。編集部にて試用したところ、メイン画面の一部の説明文やヘルプファイルが英語表記であるほかは、ほぼすべての項目が日本語化されており、利用の際のハードルが非常に低くなっている。 「COMODO Internet Security」は、ウイルス対策機能やファイヤーウォール機能などを備えた統合セキュリティソフト。とくにファイヤーウォール機能には定評があり、ファイヤーウォールの性能を測る海外のコンテストでも常に上位にランクインしている。 また、ウイルス対策機能としては、常駐監視や手動によるウイ
Google、CAPTCHA破り対抗の新システム開発
機械で解くのは難しいが、人間には簡単に解けるという「回転CAPTCHAシステム」をGoogleが開発した。 アカウントの不正登録を防ぐ目的で使われる変形文字のCAPTCHAが攻撃側に破られている実態を受けて、米Googleが新しいCAPTCHAシステムを開発した。 CAPTCHAは、アカウントを登録しようとしている相手が人間か機械かを見分けるためのシステム。Googleのリサーチブログによると、攻撃側はボットを使ってこれを破り、大量のアカウントを不正に取得してスパムメールの送信などに使っている。不正登録を防ぐためにCAPTCHAの変形度を高めると、人間にさえ判読が難しくなってしまうという悪循環に陥っている。 そこで方法を変えることにしたとGoogle。文字の代わりに、例えば飛行機や料理などを写した写真を表示し、意図的に写真の向きを横向きや逆さ向きにしておいて、登録しようとしている相手に正し
CPU内蔵でデータを自動消去するUSBメモリ、富士通研究所が開発
株式会社富士通研究所は4月17日、自動データ消去機能を備えた「安全USBメモリ」、および同USBメモリ内のデータを特定のサーバーにしか保存させない「ファイル・リダイレクト技術」を開発したと発表した。 安全USBメモリは、内部にCPUやバッテリを搭載。一定時間を過ぎたり、許可されていないPCに接続したりすると、自動的にデータを消去する。例えば、「24時間経過したらデータを消去」「登録外のPCに挿入したらデータを消去」といったセキュリティポリシーを設定しておくことで、万一の紛失時にも情報の流出を防ぐことができる。 さらにUSBメモリ内のデータをメールに添付したり、印刷を禁止したりするため、ファイル・リダイレクト技術も開発した。USBメモリと一緒に持ち出すPCに専用のソフトウェアをインストールしておくと、USBメモリ内のデータのコピー先を、USBメモリ自身と特定のサーバーだけに制限できる。PC内
そろそろSQLインジェクションについてひとこと言っておくか。 - だらだらやるよ。
ちょっとSQL Injectionについて未だに情報が少ないのにいらついていたので。 というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。 具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。 SQLインジェクションってなに? アプリのユーザ入力領域からSQL文を注入されてしまうこと。 サーバでこういうコード書いてると、user_nameに「' or '1'='1';#」とか書かれて素敵なことになる。(mysqlの場合) String sql = "SELECT * FROM users WHERE = name = '"+user_name+"' AND password='"+user_password+"'"; 簡単に言うと、開発者の意図しないSQLをユーザの入力によって行う攻撃手法ですね。 S
404 Not Found
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
IEを狙うトロイの木馬が爆発的に感染中、ほかのブラウザの利用を--Doctor Web
ネットフォレストは4月10日、2009年3月末からトロイの木馬「Trojan.Blackmailer」の複数の亜種が爆発的に感染しているという、Doctor Webによる警告を公表した。このトロイの木馬は、2008年9月のウイルス・スパムレビューでも注意を呼びかけていたが、その後、検出数が2009年3月31日から急増。感染したPCは数百万台に達している見込みだという。 このトロイの木馬は、マイクロソフトのInternet Explorerのプラグインとして動作し、ウェブサイトのコンテンツが読み込まれるたびに広告バナーを表示する。そしてユーザーに、SMSメッセージをマルウェア作者に送信して削除用の特別なコードを受け取るよう促す。 新たな亜種の感染源は、性的な動画提供サイトを装ったウェブサイトのほか、JavaScriptなどをコンテンツに埋め込まれてしまった複数の正規サイトがある。このウイルス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
定義ファイル使わない国産ウイルス対策ソフト、鵜飼裕司氏ら開発
http://japan.internet.com/developer/20090320/26.html