タグ

関連タグで絞り込む (1)

タグの絞り込みを解除

securtyに関するtaninswのブックマーク (2)

  • SPDY compression and CRIME attack from Mike Belshe on 2012-09-14 (ietf-http-wg@w3.org from July to September 2012)

    From: Mike Belshe <mike@belshe.com> Date: Thu, 13 Sep 2012 20:20:49 -0700 To: httpbis mailing list <ietf-http-wg@w3.org> Message-ID: <CABaLYCsAmOe7z68E25pfYsuhb8r_AsH-AbzX-VfUYK_VGWbGDg@mail.gmail.com> You may have read about the CRIME attack recently: http://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor/19914#19914 http://www.cio.com/article/716161/_39_CRIME_39_

  • 処理開始後の例外処理では「サニタイズ」が有効な場合もある

    このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U

    taninsw
    taninsw 2012/03/30
    入力Iを前提にエスケープ(I -> O)してたら検証漏れで入力が実は(I⊆)I'になっていた場合。出力しない or 安全な変換(I' -> O)を作って使う。/I'とIの差異のOにおける表出によっては文字削除・置換(サニタイズ)で解決する場合も
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.