Whatisthatfile.com - It's good to be Sure...
male could possibly be the personality among swiss clone watches. high quality https://tagheuer.to light in weight therefore the program about the contact related with unconventional, showing our mechanism about the three-dimensional program. cheap perfectrolexwatches supplies a helpful details regarding observe experts and also lovers. rolex swiss de.wellreplicas.to pre-owned exceptional project
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
セキュリティホール memo - IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ参りましたね。
》 Network Security Forum 2005 - 教科書で教えるべきWebサイトを安全に利用する秘訣 - 産総研・高木氏 (MYCOM PC WEB, 12/28)。 関連: Phishing対策ツールバーなんていらない! 元々あるIEの機能を使う (高木浩光@自宅の日記, 12/24) 》 Network Security Forum 2005 - 医療の電子化、安全のための工夫 (MYCOM PC WEB, 12/28) 》 盗聴で揺れるNSA、サイトに「違法」の情報収集技術 (CNN, 12/30)。cookie だそうで。 》 「患者適応型ES細胞なし」ソウル大調査委 (中央日報, 12/29)、 04年論文のヒトクローンES細胞も存在しない (東亜日報, 12/30) 》 山形特急転覆:原因は「ダウンバースト現象」の可能性 (毎日, 12/30) 》 【北朝鮮偽ドル
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
Linux Fedora
SELinuxを実装したFedora Core 4サーバを作ってみよう(updated 14 Mar/06 ) このページの更新はもう行いません。 SELinuxのstrict-1-27ポリシー、Fedora core 4、postgresql-8.1.1、mysql-5.0.18、apache- 1.3.34、apache-2.2.0、php-5.1.2、php-4.4.2、winscp、 putty、nmap、lsat、java、snmp、mrtg、 meadow、pear、smarty、mod_security、namazu、nucleus、samba-3.0.20bは試しましたか? このページの簡単な説明(今日の独り言) SELinuxに対応したサーバの作り方です。SELinuxを際だたせるために書いていないところは、こち らで確認してください。なかなか大
あなたのクリップボードが盗まれる - Ceekz Logs
IE には、便利な機能がある。それは、スクリプト(JavaScript etc..)でクリップボードの操作ができるのだ。clipboardData というオブジェクトね。操作できる内容は、クリップボードにデータを読み込むこと(setData)、読み出すこと(getData)、消去すること(clearData)の3種類。 読み出すことも可能なんですよね。しかも、デフォルトでは、警告すら出ない。 以下のような、プログラムを準備しよう。 #!/usr/bin/perl use strict; my $file = '/tmp/cb.txt'; open (CB, ">> $file"); print CB "$ENV{'QUERY_STRING'}\n"; close (CB); print "Status: 301 Moved Permanently\n"; print "Location:
高木浩光@自宅の日記 - 攻撃者視点ではなく開発者視点での解説を
■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ? 英文 の直訳か何かか? その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら(例えば 「この数字の最後を1つだけずらせばどうなるかなー?」) によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
やねうらお―よっちゃんイカを買いに行ったついでに家を買う男 - 危険なwebプログラミング
いまや、デザイナーですら、phpを使う時代になった。猫も杓子もphpである。以前は、「htmlが書けなきゃwebデザイナーじゃないよね」と言われていたのが、次第に「cssも書けなきゃ」「JavaScriptぐらい読めなきゃ」「phpを使えなきゃ」と、敷居があがってきた。webデザイナーの人たちも大変である。 phpは、確かに手軽に使える言語であり、いままでプログラミングに携わったことのない人であっても少し勉強すれば簡単なプログラムが書けてしまう。まして、C++やJavaで鍛えあげられたプログラマなら見た瞬間使えると言っても過言ではない。 しかし、セキュリティを確保することはそう簡単な問題ではない。このたび、ソシム株式会社から発売になった「PHP サイバーテロの技法 攻撃と防御の実際」(asin:4883374718)だが、この本は素晴らしい。現状知られているメジャーな攻撃方法14種類につい
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? ― @IT
先週、私はRootkitRevealer(RKR)の最新版をテストしていた。システムの1つをスキャンしてみて驚いた。Rootkitが入り込んでいる形跡があったからだ。Rootkit(ルートキット)とは、ファイル、レジストリ・キー、そのほかのシステム・オブジェクトを、診断ソフトやセキュリティ・ソフトウェアから隠ぺいする技術のことだ。これは通常、マルウェア(不正なソフトウェア)が自らの存在を隠そうとして使用する技術である(Rootkitについては、Windows IT Pro Magazine 6月号掲載の記事“Unearthing Root Kits”に詳しく書いた(訳注:該当記事は契約購読者のみ閲覧可能。Rootkitに関する日本語の記事としては関連記事も参照)。RKRの結果ウィンドウによると、隠しディレクトリが1つ、隠しデバイス・ドライバがいくつか、そして隠しアプリケーションが存在してい
PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を:IT Pro
Hardened-PHP Projectは10月31日(現地時間),オープンソースWebアプリケーション開発言語PHPの深刻なセキュリティ・ホールを警告した。リモートからPHPスクリプトを実行される「今まで見つかった中でも最悪のセキュリティ・ホール。全てのPHPユーザは今すぐ対処を行う必要がある」(日本PHPユーザー会 大垣靖男氏)。PHP4の4.4.0以前のバージョン,PHP5の5.0.5以前のバージョンが影響を受ける。対策はパッチを適用することなど。 このセキュリティ・ホールは,ファイル・アップロードでグローバル・シンボル・テーブル$GLOBALSが書き換えられることにより,リモートからPHPのスクリプトを実行される可能性があるというもの。PHPの標準ライブラリであるPEARなどがこのセキュリティ・ホールにより攻撃される可能性がある。そのほか「影響を付けるシステムやアプリケーションは数
【続報】東証のシステムが復旧、障害原因は10月上旬に更新したプログラム
東京証券取引所は、システム障害により朝から停止していた取引を午後1時30分から再開した(関連記事)。東証は緊急記者会見を開き、障害の原因が10月8~10日の連休中に更新したプログラムの不具合にあるとの見方を示した。同時に「市場を混乱させたことは大変申し訳ない」(天野富夫常務)と陳謝した。 東証は10月の連休中、ベンダーの富士通とともに、株式売買に使う業務サーバーのプログラムの更新を行った。取引能力を、それまでの1日620万件から同750万件へと増強するのが目的である。ただし、この際の検証が不十分だったことから、10月31日月曜夜の月次バッチ処理で不具合が発生し、11月1日朝にシステムが立ち上がらなくなった。 今回のトラブルに影響した月次バッチ処理は、毎月、ディスクのフラグメンテーションを解消し空き容量を回復するために行われているもの。この処理により月末にディスク上のデータの配置場所が変わる
ブログスパムの悪夢--「スプログ」でグーグルのBloggerが大混乱
電子メールの厄介者だったスパムが、ブログの世界向けに生まれ変わった。そして「スプログ(splog)」と専門家が名付けたこの問題に関して、Googleが非難の矢面に立たされている。 Googleの提供するブログサービス「Blogger」と「BlogSpot」ホスティングサービスの組み合わせは、ウェブで最も人気の高いブログ関連のサービスだが、先週末に両サービスは過去最大のスプログ攻撃に遭い、RSSの購読が不可能になったり、メールの受信フォルダがいっぱいになったほか、検索エンジンのランキングが不正操作された可能性も出ている。 Sun Microsystemsのウェブ技術ディレクターTim Brayは、これを「スプログの大爆発("splogsplosion")」と呼び、「ブログの世界("blogosphere")のみなさん、緊急事態が生じていると思われます」と自身のブログに書き込んでいる。 攻撃者
あおぞら銀行が業務クライアントをMacに移行、その理由とは?
株式会社あおぞら銀行は、かつての日本債券信用銀行である。1990年代に経営が悪化して一時期国有化されたものの、2000年にソフトバンク、オリックス、東京海上火災(現・東京海上日動火災)、その他金融機関からなる投資グループを株主として再出発し、2001年に現在の社名に変更された。2003年には筆頭株主であったソフトバンクが保有する全株式を米国の投資ファンドであるサーベラスグループに売却。近年は業況も好調に推移している。その結果として経営方針にも変化が現れ、これまでのような一方的な経費削減方針から、必要と思われることに積極的な投資が行われるようになった。 今回取材した業務クライアント移行プロジェクトも、あおぞら銀行の積極的なIT投資の一環である。その目的は、ローカルPCにデータを保存しないシンクライアント環境へ移行することにある。アプリケーションやデータをサーバーで集中的に管理することで、IT
PortalPHP MOONGIFT
シンプルなPIM データベース不要なWebベースのPIMツールです。 シンプルなPIM 情報に溢れている現代、最も危惧すべきなのは情報の散在だ。同じようなサービスを色々な所で利用しているために、いざ使おうと思った時に手元にないという事になる。 顕著なのが自宅と会社、更に屋外と言った違いだろう。時には外に出て、カフェで仕事を片付けようかと思ったら、スケジュールさえ見れなかった…なんて場合もある。情報は一括で管理できる仕組みが必要だ。 本日紹介するフリーウェアはPortalPHP、WebベースのPIMソフトウェアだ。 データベースも不要で、解凍して設置すれば直ぐに利用可能だ。基本機能として、スケジュール、メモ、ブックマーク、更にRSSリーダーがある。オプションによって画面の変更もできる。 Webベースなので、インターネット上に設置すればどこからでも利用できる。同期させる必要もない。だが、簡便な
NetSecurity - 大手サイトの「4つのやりません宣言」 サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
>> 某大手サイトの「4つのやりません宣言」 驚天動地の発表 某大手サイトが昨日「4つのやりません」を公言した。 このサイトでは第三者から攻撃を受けて下記のような事態が発生した。 ・サイトが改ざんされて、閲覧者にウイルスをばらまく状態になったのを知っていながら数日間放置 ・メールアドレスが多数漏洩 ・サイト閉鎖、システム入れ替えして再開 今回の事件に対して某大手サイトでは「4つのやりません宣言」を発表した。 ・過失は認めません ・サイトを見てウイルス感染した被害者へは補償しません ・サイトからメールアドレスを漏洩してしまった被害者へは補償しません ・原因については公表しません これは今回のことだけなく、将来に向けても同様のことを公言したようなものである。 ・第三者から攻撃を受けて問題がおきても自社の過失は認めません ・サイト利用者に被害が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
三井住友銀行 > 簡単!やさしいセキュリティ教室
安全なWebサイト設計の注意点