ストックマークにおけるB2B SaaSセキュリティへの取り組み
こんにちは、ストックマークでSREを担当している松下です。 ストックマークでは企業向けの情報収集・企業分析・営業支援サービス(Anews, Astrategy, Asales)を運営しており、導入を検討されているお客様よりセキュリティの取り組みに関してお問い合わせをいただくことが多々あります。 お客様のセキュリティ基準をプロダクトが満たせるかどうかは、ストックマークにとっても最重要課題であり、ストックマークのセキュリティ向上への姿勢をより分かりやすく示すために、8月にはISMS認証を取得しました。 今回はISMS認証取得を記念して、私が担当しているAsalesを例にしながら、これまでにストックマークが行ってきたセキュリティ対策の一部をざっくりとご紹介させていただこうと思います。 AsalesについてAsalesはセールスなどの提案資料や社内資料を自然言語処理技術で学習・解析し、売上拡大のた
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
Macにアンチウイルスソフトいれてみた - Liquidfuncの日記
Macにアンチウイルスソフト(ウイルス対策ソフト、セキュリティソフト)いれたので紹介します。 Macのアンチウイルスソフト一覧 まずはMacの主要なアンチウイルスソフトを列挙します。 シェアウェア(有償) VirusBarrier X6 http://www.act2.com/products/virusbarrier-x6.html Norton AntiVirus for Mac http://www.symantec.com/ja/jp/norton/macintosh/antivirus McAfee VirusScan for Mac http://www.mcafee.com/japan/products/virusscan_for_mac.asp avast! Mac Edition http://www.avast.com/ja-jp/mac-edition Kaspers
Snow Leopardのマルウェア対策を「CoreType.bundle」で知る - builder by ZDNet Japan
Mac OS Xのアップデートが実施されるとき、ひっそりと更新されるファイルがある。特別にアナウンスされることはなく、存在すらあまり知られていない「XProtect.plist」がそれだ。Snow Leopardでは、/System/Library/CoreServicesディレクトリにある「CoreType.bundle」内部に保管されているため、Finderでブラウジング中に目にすることはなく、ユーザーが直接操作する必要もない。しかし、その役割は重要だ。 XProtect.plistには、Mac OS Xを対象としたマルウェアのシグネチャが記載されている。Snow Leopardリリース直後の時点でここに定義されているマルウェアは、2種のトロイの木馬に対するもののみだったが、6月リリースのMac OS X 10.6.4では3種に増えている。逆にいうと、このファイルの内容を見れば、App
ハッカージャパンにあったFirefoxアドオンの脆弱性 - hogehoge @teramako
Hacker Japan (ハッカー ジャパン) 2010年 07月号 [雑誌] 出版社/メーカー: 白夜書房発売日: 2010/06/08メディア: 雑誌購入: 3人 クリック: 66回この商品を含むブログ (4件) を見るの冒頭でFirefoxアドオンに関する脆弱性があるというので読んでみた。 あげられたアドオンは FireFTP :: Add-ons for Firefox ウェルカム・メッセージに悪意のあるコードがある場合、これをブラウザーが実行だそうです。 Wizz RSS News Reader - Rss, Atom & Podcast Feeds - Gmail Checker descriptionタグにあるHTMLやJavaScriptを実行できるそうです。 CoolPreviews :: Add-ons for Firefox data://URLでXSSが可能だそう
Twitter の OAuth 許可ページがあまりにも酷い => 応急処置 - mooz deceives you
OAuth の Read と Write 先日, ツイート君に会話をまとめてもらい, 大変嫌な思いをした. Twitter の OAuth には Read 権限と Write 権限があって, Write 権限があると つぶやく 誰かをフォローする 誰かをリムーブする などのことが行えてしまう. つまり, Write 権限を要求するアプリケーションを許可することは, 「このアプリケーションが私のアカウントを使って勝手に変なことをつぶやいたり, 勝手に誰かをフォローしたり, 勝手に誰かをリムーブしても文句は言いませんよ」ということに等しい. さて, それでは OAuth の権限付与画面を見てみよう. ここでは冒頭に上げたツイート君が権限をこちらに要求してきている. では, いったい何の権限を要求してきているのだろうか. Read なのだろうか. それとも Write なのだろうか. 答えは R
ローカルストレージに保存するデータの暗号化 ― Windows の場合 - NyaRuRuが地球にいたころ
Gumblar による FFFTP への攻撃について GumblarによるFFFTPへの攻撃について FTPのアカウントを盗み、サイトを改竄するGumblarウイルスが猛威をふるっております。 このGumblarウイルスの亜種が、FFFTPを狙って攻撃していることが報告されております。 詳しくは以下のサイトを参照してください。 smilebanana UnderForge of Lack FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除法はプログラムソースを解析すれば可能です。 Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。 上記理由により、以下のいずれかの対策をお取りください。 ●接続先のFTPサーバーがSSL等に対応している場合。 →
Windows用ソフトウェア「イージスガード」を公開します : DSAS開発者の部屋
「イージスガード」は Windows PC 上のデータをウイルスやマルウェアの脅威から守るためのソフトウェアです。KLab は個人向けにこのソフトウェアの無償公開を開始しました。 イージスガードには次の機能・特長があります。 所定のフォルダ・ファイルを保護対象として設定可能 許可しないプログラムからのアクセスを報告・記録する 許可しないプログラムからのアクセスを透過的にダミーフォルダへ誘導 PC 環境に応じて保護設定を自動生成する 改変されたプログラムからのアクセスを抑制する 有効なデジタル署名つきのプログラムには自動的に許可を与える イージスガードは、以前このブログでご紹介した「WinAmulet」を母体とする上位互換のソフトウェアです。WinAmulet ユーザ各位のご支援のおかげで、多くの機能を追加し大きく性能を改善したこの新しいソフトウェアが生まれました。もちろん、WinAmule
きまぐれ日記: sudo のGUIダイアログはセキュリティ的に大丈夫なのか?
UbuntuやMac OSXを使っていると、権限の高いオペレーションを実行しようとしたときに、ユーザのパスワードを要求するダイアログが起動します。毎回ハイハイと思いつつ入力しているのですが、ふと考えるとこのセキュリティモデルというかユーザビリティー的に大丈夫なのかどうかと思うようになりました。 例えば、インストーラーでダミーのパスワードダイアログを表示させればマルウェア作者はユーザのパスワードを取り放題だし、OSのファイル保存ダイアログをクラックして、適当なファイル保存のタイミングで同ダイアログを出せば、無知なユーザはホイホイパスワードを入力してしまうのではないでしょうか。Webサイトのフィッシングと全く同じ話です。 このダイアログはそもそも CUIプログラム sudo のラッパーにすぎません。しかし、話はそんなに単純ではありません。CUIの場合は、ほとんどの操作が「能動的」なために、su
ツッコミ hideden (2009-08-06 12:45) - 徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ●携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以
ke-tai.org > Blog Archive > ソフトバンクの携帯用GatewayをPCで通る方法があるようです
ソフトバンクの携帯用GatewayをPCで通る方法があるようです Tweet 2009/8/4 火曜日 matsui Posted in タレコミ, 記事紹介・リンク | 4 Comments » mogyaさんからのタレコミです。 (情報提供ありがとうございます) ソフトバンクの携帯用ゲートウェイを、PC経由で通る方法があるとのことです。 扱う情報にもよりますが、ケータイサイトではIPアドレス帯域を制限して、ケータイからのアクセスのみを許可するのが一般的です。 これが可能なのであれば色々と問題がありますね。 → Perlとかmemoとか日記とか。 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [d.hatena.ne.jp] ソフトバンクのゲートウェイをPCから通過する方法としては次の2つが挙げられています。 SIMUnlock済みのiPhoneを使う方法
Growl/GNTPアドオンのセキュリティ問題について作者に報告しておいた - 今日もスミマセン。
現状の Growl/GNTP アドオンの危険性については Growl/GNTP 1.1.1が危険すぎる - hogehoge で言及してもらっているとおり。 とりあえず、つたない英語を駆使して作者にこの問題を伝えた。(いきなりMLに流すのもなーって思ったので本人に直接送った) Hi, Brian. I was really excited about that GfW's support Greasemonkey. Then I was wrote a experimental script and published it on my blog. But... a few user commented about Growl/GNTP add-on's security issue. Comment summary is as follows. It is very dangerous
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
[柔軟すぎる]IEのCSS解釈で起こるXSS
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、
![[柔軟すぎる]IEのCSS解釈で起こるXSS](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
Jetpackのセキュリティ性(続報) - hogehoge @teramako
Jetpackのセキュリティ性の続き どうも待っているのは性に合わないようで、バグ登録してみた https://bugzilla.mozilla.org/show_bug.cgi?id=494779 *1 Jetpackのセキュリティ性で挙げた、XPCOMが利用可能なことに対する言及し、 do not require write access to the file system do not require Places access Labs/Extensions2/Target Add-ons - MozillaWiki に違反しているのでは? という内容だ(少なくともそのつもりで書いた。拙い英語なので分かりにくいかもしれないが。) 対して、プロダクト・リーダーのAza Raskinさん*2から返答があり、 最初は制限をとても強くして開発していたが、当初はJetpackAPI実装する
Jetpackのセキュリティ性 - hogehoge @teramako
Mozilla Jetpackについて調べたいことの続き。 Secure Provides access to only the privileges needed, with security issues always be presented in social-terms, and not technical-terms Short and easy to review code ensures that potential security issues are shallow, and review times short Mozilla Labs Jetpack | Exploring new ways to extend and personalize the Web とのことだが、しかし、穴があるのではないかと思った。 XPCOMの使用が可能 Componentsへのアク
PHPのSession Adoptionは重大な脅威ではない - ockeghem's blog
なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣氏の主張は間違っていると私は思う。 以下、大垣氏の主張を実際に試してみる形で、順に説明しよう。 大垣氏の主張 大垣氏の主張は、PHPにはSession Adoption脆弱性があるために、標準的なSession Fixation対策であるsession_regenerate_id()を施しても、その対策は有効ではないというものだ。 しかし,実際には現在に至るまでPHPのセッションモジュールのセッションアダプション脆弱性は修正されないままになっています。このために,本来はsession_regenerate_id関数をログイン
そろそろSQLインジェクションについてひとこと言っておくか。 - だらだらやるよ。
ちょっとSQL Injectionについて未だに情報が少ないのにいらついていたので。 というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。 具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。 SQLインジェクションってなに? アプリのユーザ入力領域からSQL文を注入されてしまうこと。 サーバでこういうコード書いてると、user_nameに「' or '1'='1';#」とか書かれて素敵なことになる。(mysqlの場合) String sql = "SELECT * FROM users WHERE = name = '"+user_name+"' AND password='"+user_password+"'"; 簡単に言うと、開発者の意図しないSQLをユーザの入力によって行う攻撃手法ですね。 S
第3回 US-ASCIIによるクロスサイトスクリプティング | gihyo.jp
今回は、US-ASCIIによるクロスサイトスクリプティング(XSS)という話題について紹介します。 前回までで説明したUTF-7によるXSSと同様に、攻撃者はUS-ASCIIという文字コードを巧みに利用することで、IEを対象にXSSを発生させることができます。US-ASCIIによるXSSは、UTF-7によるXSSと類似点も多いため、前回までの説明も併せて読んでおくとよいでしょう。 US-ASCIIによるXSSについても先に対策を書いてしまうと、UTF-7のときと同様にHTTPレスポンスヘッダにて Content-Type: text/html; charset=UTF-8 Content-Type: text/html; charset=Shift_JIS Content-Type: text/html; charset=EUC-JP のいずれかを出力するという原則を守ることで、完全に攻撃
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
