フレッシュリーダーの脆弱性に関連してSage++のこと (ひぐまのひまグ)
実はこの連絡を受けるまで寡聞にしてJPCERT/CCという組織のことは知らなかったのですが、Wikipediaによると「コンピューターセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う中間法人」らしいです。 本来なら早急に脆弱性の内容を確認して対策バージョンをリリースすべきだとは思うんですが、JPCERT/CCから脆弱性情報の詳細を入手するには開発者ベンダ登録リストというものに住所・氏名・電話番号等の個人情報を登録する必要があるらしく、残念ながら当方では緊急度・影響度が不明な脆弱性情報を入手することの必要性と、そのために自分自身の個人情報を晒すというリスクの度合いを比較検討した結果、これ以上の情報入手を断念しました。従いまして指摘を受けた脆弱性(具体的内容は不明)は現時点でも対策されていません。 ただ、JPCERT/CCからの連絡によるとこ
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ)
当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の
【事例研究】生体認証キャッシュカードの危険性(2)変更不可能な指紋や静脈データを使ってよいか
「前回」に続き、リスクマネジメントと技術導入のトレードオフを巡る事例として、銀行の生体認証機能付きキャッシュカードを取り上げる。今回は、2005年12月14日に日経ビジネスExpressの特別番組『不屈の経営』の中で公開した『メガバンクの生体認証キャッシュカード、安全性を巡るいくつかの論点』を再掲する。本稿では、インターネット上に公開されている論文を引用しつつ、生体認証機能付きキャッシュカードの是非を考えるための論点を整理してみた。枠組みは現在も有効と思うので再び掲載する次第である。 三井住友銀行が2005年12月19日から、「生体認証キャッシュカード」の受け付けを開始した。預金者の指2本の静脈パターンデータをICキャッシュカードに登録、このデータを使って本人かどうかを確認する。メガバンクにおける生体認証キャッシュカードの導入状況を見ると、東京三菱銀行が先行しており、三井住友銀が2行目とな
https://support.microsoft.com/ja-jp/help/823306
すべての Microsoft 製品 Microsoft 365 Office Windows Surface Xbox セール サポート ソフトウェア Windows アプリ OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studi
SELinux:使いやすさを犠牲にセキュリティを強化
オープンソースセキュリティに関しては、少なくとも2つの陣営がある。1つはAppArmorの使いやすさを支持するグループで、もう1つはより包括的なSELinuxを支持するグループである。ここでは、使いやすさを犠牲にしてもセキュリティを強化するSELinuxについてみてみよう。 オペレーティングシステムのセキュリティは、アクセス制御を中心に回っている。Linuxディストリビューションで使われるDAC(Discretionary Access Control)メカニズムでは、リソースへのアクセスをだれに許可し、どのようなアクセス方法を認めるかをリソースの所有者が決定できる。しかし、DACが理想的なアクセス制御方式ではないことは、すぐに判明した。アプリケーションを実行するユーザーに与えられた権限が、そのままアプリケーションが持つ権限になるからである。1つのアプリケーションが侵入を許し、rootで実
Torで閲覧者のIPアドレスを隠蔽する匿名タブブラウザ「Torpark」 :教えて君.net
Firefoxベースの匿名タブブラウザ「Torpark」がリリースされた。少し前から話題になっている匿名ネットワーク「Tor」を使い、閲覧者のIPアドレスを隠した状態でウェブ巡回を行うブラウザなのだ。「Torとは」という話は正確に書くと長くなるので超短縮説明で終わらせると、面倒なプロクシリスト取得や設定を行わなくても自動でIPアドレスが隠蔽され、しかも一定時間ごとに自動で見かけのIPアドレスが変わる、新しいプロクシシステム。本来、Torは別途ブラウザなどと組み合わせ、「Torを起動しブラウザの設定を変更して~」といったように使うツールで、導入や設定変更などが面倒だった。「Torpark」なら単体でTorネットワークを使ったブラウジングが可能なので使いやすいし、インストール不要なので持ち運びや出先での利用にも便利。気軽に使える匿名ブラウザとして注目度が高いぞ。 「Torpark」を作者のペ
仙石浩明の日記: 盗まれたノートPC を外部から操作する方法 (VPN-Warp 応用編 2)
VPN-Warp の応用例の第一回目は、 ノートPC に VPN-Warp の relayagent をインストールしておくことによって、 そのノートPC が万一盗まれたり紛失したりしたときに、 外部から操作できるようにしておく方法の紹介です。 VPN-Warp の使い方の基本的なところを説明した、 VPN-Warp 入門編 6 回シリーズも合わせてご参照下さい: 入門編 (1) VPN-Warp の特長: ふつうの SSL VPN と比べて 入門編 (2) VPN-Warp の特長: ssh のポートフォワードと比べて 入門編 (3) stone & relayagent の設定方法 入門編 (4) stone の代わりに OpenSSL の s_client を使ってみる 入門編 (5) stone の代わりに普通の WWW ブラウザを使ってみる 入門編 (6) WWW ブラウザを使う
高木浩光@自宅の日記 - Winny稼動ノード数が先々週末から減少
■ Winny稼動ノード数が先々週末から減少 7月のWinnyノード数調査の失敗の後、プログラムを直し、集計方法を変更して、8月下旬からノード数調査を続けていた。図1がノード数の推移のグラフである。(図中の「×」印で示した極端に値が低下している箇所は、調査用PCがダウンしていたために取りこぼしが起きた期間を表す。) 波長の長い波の周期は一週間で、土曜日から日曜日にかけてピークが出ている。短い周期は一日で、深夜が最大、昼間が最小となっている。祝日に土日並みのピークが見られるところもある。 全体的に僅かながらの減少傾向にあったが、12月2日あたりから1万数千ノードが急に減少した様子が見てとれる。 集計方法は次の通りである。 まず、7月の調査の際には、20万ノード前後という数字を出していたが、この値は、図2のように、見つかったノードを全部巡回し終えた段階で終了する(図中の緑の曲線が赤の曲線に交わ
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
大規模な「DNSキャッシュ汚染」攻撃の可能性--専門家が警鐘
何十万台ものインターネットサーバがある攻撃のリスクを抱えている。その攻撃とは、ウェブユーザーを勝手に悪質な偽のサイトへとリダイレクトしてしまうというものだ。 セキュリティ研究者のDan Kaminskyが、250万台のDNS(Domain Name System)サーバをスキャンしたところ、そのうちの約23万台が「DNSキャッシュ汚染」として知られている脅威に対して脆弱であることがわかった。DNSサーバはインターネットの電話帳の役割を果たしている。 同氏は、7月末にラスベガスで開かれた「Black Hat」セキュリティカンファンレンスで講演を行い、この数は「スキャンしたDNSサーバの約10%にあたる」とした上で、「DNSサーバのチェックを済ませていない場合は、監査を受けてほしい」と述べた。 ネットワークに対する脅威を監視するSANSのInternet Storm Centerによると、こう
「悪質サイトへ勝手にリダイレクト」---DNSキャッシュ・ポイズニング攻撃の現状と対策(上)
米国のセキュリティ組織であるSANS Institute(以下,SANS)は3月初め,多数のユーザーから「Webブラウザに正しいURLを打ち込んだはずなのに,意図していないWebサイトへアクセスさせられる(リダイレクトされる)」という報告を受けた。DNSサーバーの情報を勝手に書き換える「DNSキャッシュ・ポイズニング攻撃」が原因の一つだという。その後,SANSには同様の攻撃が相次いで報告された。 DNSサーバーの情報を書き換えられると,ユーザーとしてはどうしようもない。例えば,ブラウザに正しいURLを自分で入力しても偽サイトへ誘導されることになる。SANS Instituteで報告された例では,ウイルス/スパイウエアを埋め込むようなサイトや,スパマー(スパム送信者)のサイトへ誘導されたという。偽サイトへ誘導するフィッシング(ファーミング)に悪用される可能性もある(関連記事)。 とはいえ,D
Notes on the Domain Name System
D. J. Bernstein Internet publication djbdns Notes on the Domain Name System If you've seen my reference manuals on Internet mail, the Internet mail message header format, SMTP, and FTP, then you might be expecting something similarly comprehensive for DNS. This isn't it. Sorry. Trusted servers When a DNS cache---a ``full-service resolver'' under RFC 1123---wants the address of www.w3.org, it may c
MTA のアクセス制御
MTA の各種のアクセス制御手法について思いつくままにメモしたもの。ほとんどは spam 対策だが、こうすれば spam を撃退できる、というガイドではない。絶大な効果があるものから、ほとんど効果がないどころか多大な副作用をもたらすものまで、さまざまな手法をとにかく列挙する。筆者は spam 対策については「やりすぎるぐらいならば何もしない方がマシ」という立場を取っているので、メリットよりもデメリットを重視する。なお、分量はわずかだが DoS 対策や内部ユーザによる abuse を防止する手法についても触れる(この文書は spam 対策技術のメモではなく MTA のアクセス制御手法のメモである)。 ローカル配送された後にユーザごとで選別する方法についてはほとんど取り上げない。携帯電話向け spam についても触れない。特定の MTA や対策ツールにかたよった記述はほとんどしないし、特に必要
ITmedia エンタープライズ:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Opensource.com | Opensource.com
www.nutsecurity.com
インターネット通信における暗号化 - 技術メモ
RFC3833 Threat Analysis of the Domain Name System (DNS)
http://www.ne.jp/asahi/music/marinkyo/kunordiganto/cobit.html.ja.sjis