タグ

securityに関するstylusのブックマーク (19)

  • 南京錠の鎖 - Radium Software

    Kevin Kelly's Lifestream - One Gate, Multiple Locks 門に鍵を付けたいのだけれど,複数の人がその鍵を開けられるようにしたい。 そんなときは,複数の南京錠をチェーン状に繋げよう。 こうすれば,どれかの錠を外すだけで門を開けることができるようになる。 もし,どれかの鍵を無くしてしまっても,その錠だけを取り替えれば,セキュリティは守られる。合鍵だと,錠とすべての合鍵を取り替えなきゃならない。 こういうインプロビゼーションは大好き。一目では何をしたいのか分からないところもいいね。

    南京錠の鎖 - Radium Software
    stylus
    stylus 2008/08/19
    なるほど
  • 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイト運営入門

    「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく

  • AIRでパスワードを保存する時はEncryptedLocalStoreを使うべき - プログラミングとかそんなの

    WebサービスにアクセスするAIRアプリを作成していると、ユーザーの利便性を考慮してWebサービスのユーザー名とパスワードを保存しておきたいと思う時があります。 そうした時のために、AIRにはEncryptedLocalStoreクラスが用意されています。このクラスはOS固有のデータ保護APIを使用してデータを保護する仕組みを提供しています。 このクラスを通して保存されたデータは、他のユーザーやアプリケーションが解釈できないように暗号化して保存されます。具体的には128 ビットの AES-CBC暗号 が使われています。 AES暗号のような共通鍵暗号を使う場合、アプリケーションに固定の鍵を組み込んでおくような実装をしがちですが、そういった実装だとアプリケーションを解析すれば鍵を取得出来るため、アプリケーションが保存しているWebサービスのユーザー名とパスワードを回収するような悪意のあるプログ

    AIRでパスワードを保存する時はEncryptedLocalStoreを使うべき - プログラミングとかそんなの
  • 高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を

    MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA

  • ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス

    お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏

    ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
  • 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

    「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

    情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
  • CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan

    最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い

    CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
  • フォルダ/USBメモリ暗号化「Folder Encryption」 | 教えて君.net

    パスワードによってフォルダやUSBメモリを暗号化するフリーソフト「Folder Encryption」は、常用を考慮した使い勝手の良さが最大の特徴。職場マシンやノーパソ、USBメモリ内の機密ファイルなどを盗難から防ぐために活用して欲しい。 「Folder Encryption」は、機密ファイルを入れたフォルダ内に体を置いて利用する。体を起動してパスを入力すればフォルダ内ファイルの暗号化が行われ、後日もう一度体ファイルを起動してパスを入力すれば復号化、という動作だ。復号化後の再暗号化はタスクトレイアイコンから一発だし、動作原理上ネットカフェなどのマシンでも問題なく利用できる。使い勝手が非常に良い暗号化ツールだぞ。 参考:安定していて強力なUSBメモリ暗号化ツールが欲しい。USBメモリ全体を暗号化する予定 :教えて君.net TrueCryptをポータブル化してUSBメモリ全体を暗号化す

  • javascript - パスワードを確認するbookmarklet : 404 Blog Not Found

    2007年11月24日15:30 カテゴリLightweight LanguagesTips javascript - パスワードを確認するbookmarklet これの改良版です。 アスタリスクで隠されたパスワードを確認する方法 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 ブックマークレット: Check Password ソース: javascript:(function(){ var F=document.getElementsByTagName('input'), a=[]; for (var i=0,l=F.length;i<l;i++){ if(F[i].type.toLowerCas

    javascript - パスワードを確認するbookmarklet : 404 Blog Not Found
  • アスタリスクで隠されたパスワードを確認する方法 [K'conf]

    ログインが必要なサイトの多くは、IDとパスワードを入力するフォームが設置されています。 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 このようなケースに役立つハックの紹介。 以下のJavaScriptをアドレスバーに入力すると、次のようなダイアログ内にパスワードが表示されます。 javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() ==

    アスタリスクで隠されたパスワードを確認する方法 [K'conf]
  • IE5.xのフォーム入力パスワード保存を無効にさせたい

    Internet Explorerの機能の1つ,パスワード保存機能は入力の手間を軽減させる便利な機能だ。しかし,複数のユーザーで1台のパソコンを利用している場合には,この機能でほかの人にWebメールのアカウントを使われてしまう可能性がある。そこで,この機能をオフにする方法を紹介しよう。 通常は,このようにパスワード入力の際に「このパスワードを保存する(S)」というチェックボックスが表示される 次にレジストリエディタで次のキーを表示させる。 HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Internet Settings このキー上で右クリックをして「新規(N)」→「DWORD値(D)」を選択する 「新規値 #1」に「DisablePasswordCaching」と入力する これをダブルクリックして「値のデータ(V)

    IE5.xのフォーム入力パスワード保存を無効にさせたい
    stylus
    stylus 2007/02/09
    0でチェックボックスを出す
  • Windows のパスワードを解析するツール(取扱注意) | alectrope

    主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD    - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ

    stylus
    stylus 2006/12/20
    ハッキング対策?
  • Microsoft Support

    All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro

    Microsoft Support
    stylus
    stylus 2006/12/20
    ハッキング対策?
  • Windowsパスワード解析

    今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策

    stylus
    stylus 2006/12/20
    パソコンに入ってるパスワードが簡単に解析できちゃう
  • 誰が攻撃しているか突き止めたい:ITpro

    ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために

    誰が攻撃しているか突き止めたい:ITpro
  • パスワード、記憶に頼っていて大丈夫? ― @IT

    パスワード、記憶に頼っていて大丈夫? ~パスワード作成と管理~:ツールを使ってネットワーク管理(13)(1/5 ページ) サーバやルータなどの管理するマシン、アプリケーション……多数のパスワードを管理しなくてはならない管理者の律子さんは、パスワード記憶許容量をオーバーしそうです。 パスワード、どうやって覚えてる? 律子さんは管理者という仕事柄、サーバやルータなど管理するマシンの分だけ(実際にはアプリケーションのパスワードなどを考えるとそれ以上になるのですが)パスワードを管理しています。 いまのところ記憶に頼っているのですが、管理するパスワードが増えてきたり、まめに変更したりしていることもあって、最近どうにも覚えが悪くなっています。そして、一度覚えたはずのパスワードを忘れていて、慌てて台帳を見に行くことも多くなっています(律子さんの会社ではパスワードは台帳に記入されて鍵の掛かるロッカーに保管

    パスワード、記憶に頼っていて大丈夫? ― @IT
  • http://rails.office.drecom.jp/takiuchi/archive/83

  • USBでデータを家に持ち帰らせたくない ― @IT

    USBでコピーデータを家に持ち帰らせたくない ~USBストレージ使用制限~:ツールを使ってネットワーク管理(12)(1/5 ページ) うちの会社のソースコードが流出してるみたいなんだけど PtoPアプリケーションを起動できないようにした律子さんの会社では、会社で自由にネットで遊べない雰囲気になってきたせいか、ダラダラと会社で過ごす人がこれまでより心なしか減っているようです。 みんなの効率が急に上がったのかと思ったのですが、どうやらそうではなく、会社のデータを持ち帰って、家でネットで遊びつつ仕事をしているようです。 困ったことですが、規制をするようになったので仕方ないかと偉い人たちにも黙認されています。ですが、やはり、というべきでしょうか、悲しいことに問題が発生してしまいました。 ある日のこと、仕事を終えた律子さんが家で1人魚肉ソーセージをかじりながらカップ酒を飲んでいると、電話がかかってき

    USBでデータを家に持ち帰らせたくない ― @IT
    stylus
    stylus 2006/07/24
    どうなんでしょう
  • トラックバックスパム対策の.htaccess改良版 : blog.ps4.jp

    « トラックバックスパムがひどいので | blog.ps4.jp トップへ | ネットマーケティング? » 2006年06月24日:トラックバックスパム対策の.htaccess改良版 トラックバックスパムがやっぱり酷くて、毎回毎回律儀にIPを変えてくる プラグインで弾くにも、ログを残すタイプのプラグインしか見つからず。 ハッキリ言ってログを3日分表示するだけでメモリ512MBを積んでいるPCのブラウザが一瞬固まりかける(固まりはしない)。 もうこれは.htaccessのレベルで対処するしかないようだ。で、対策。 韓国(.kr)・中国(.cn)・香港(.hk)・台湾(.tw)・インド(.id)・インドネシア(.in) の内、最も酷いのが韓国のIPと中国のIPによるトラックバックスパムであった。 で、昨日今日とこの二カ国からのアクセスをblog.ps4.jp下でアクセス拒否。 さっきエラーログ

  • 1