タグ

securityに関するuchoのブックマーク (33)

  • 高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要

    ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番

  • ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会

    わたくしは立場上、実装がダメなことにはとやかく言いますがポリシーについてはとやかく言わないことをポリシーとしており、また個人的にも所属組織的にも付き合いがある企業様を痛烈に批判するというのはブーメランとか槍とか鉄砲玉とかソーシャルメディアガイドラインとか飛んできたりしてリスキーではあるのですが、どう見てもアウトだろこれ、と考えるに至りまして筆を取らせていただく次第です。 これ http://d.hatena.ne.jp/kanose/20120306/hbmbutton http://blog.dtpwiki.jp/dtp/2011/09/post-9367.html どう見てもアウトだろ。理由は単純で、そういう目的で設置されたボタンではないし、はてなブックマークボタンが設置されているサイトは、はてなの管理してないサイトなのではてなの裁量でやってはいけないからです。いつから「はてな」は「は

    ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会
  • ソニーの「コンセント」はひと味違う、プラグを認証して多彩な動作が可能

    電気製品を動かすときにはほぼ必ずコンセントのお世話になる。ところが、現在のコンセントにはインテリジェントな機能が何も備わっていない。ここに技術革新の芽があると考えたソニーは、技術開発部で「認証型コンセント」を開発、2012年2月14日に発表した*1)。 *1) 特定の機能を備えたコンセントは既に存在する。例えば、消費電力を計測できる電源タップを各社が製品化している。しかし、このようなコンセントは機器との情報のやりとりには対応していない。 コンセントに電気製品のプラグを差し込むと、機器と通信して認証などの情報のやりとりができるようになる。定期券などに採用されているソニーの非接触ICカード技術(NFC/FeliCa)を応用した(図1)。 現在のコンセントの問題点は幾つかある。これらの問題を一言で言えば、「刺さったプラグに電流を供給してよいのかどうか、コンセント側には判断できない」ということだ

  • 不正アクセスの次なる標的は複合機? 専門家が指摘

    サーバやデータベースに対する不正アクセス攻撃が頻発している昨今、攻撃者が新たな標的にしているのがオフィスなどの複合機だという。 ネットワンシステムズは12月5日、情報セキュリティに関する最新動向をテーマにしたメディア向け説明会を開催、同社フェローを務める山崎文明氏が今後予想される情報セキュリティリスクの1つとして、複合機に対する不正アクセス攻撃の可能性を取り上げた。 複合機にはコピーやファクリミリ、スキャナなどの機能を搭載されているが、近年では企業の情報システムとの連携が進み、Webサーバやメールサーバ、認証などの機能も搭載する。山崎氏は、複合機がネットワークシステムの1つだとし、その運用管理が企業のIT担当者ではないケースの問題点に触れた。一般的に複合機の管理は総務部門などが管理し、実際の保守・メンテンスを業者が担当しているが、例えば、OSの更新状況などをIT担当者が確認していない場合が

    不正アクセスの次なる標的は複合機? 専門家が指摘
  • セキュアなソフトウエア開発を支援する資料 | JPCERT コーディネーションセンター

    Java セキュアコーディング 並行処理編」 「Java セキュアコーディング 並行処理編」(原著 CERT/CC「Java Concurrency Guidelines」)は、カーネギーメロン大学ソフトウエア工学研究所の CERTプログラムと Oracle の共同作業の成果である「CERT Oracle Secure Coding Standard for Java」の中から、次のカテゴリに含まれる並行処理プログラミングに関連したガイドラインをまとめた資料です。 可視性とアトミック性(VNA) ロック(LCK) スレッドAPI(THI) スレッドプール(TPS) スレッドの安全性に関する雑則(TSM) セキュアな Java マルチスレッドプログラミングに取り組む際の手引きとしてご活用ください。 資料に記述されたガイドラインを含む「CERT Oracle Secure Coding S

    セキュアなソフトウエア開発を支援する資料 | JPCERT コーディネーションセンター
  • 1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記

    最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty

    1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
  • マクロ情報セキュリティと猿のままでいることのコスト - アンカテ

    人間の集団に起こることは、規模がある限度を超えると、制御することはもちろん、状態を把握することも難しくなるということは、たとえば経済に関しては一定のコンセンサスがあると思う。 だから、不況に対して政府が何をすべきかということは、台風や地震のような自然災害に似たものとして語られる。 台風や地震を無くすることはできないし、起きたからと言って、起きたこと自体が政府の責任にはならない。政府の責任は、過去に起きた災害をしっかり調査して、次に備え予防策を練ることだ。そして、万が一それがまた起きた時の被害を最小限に留めることである。 不況もバブル崩壊もそれに似ている。波を無くすことではなくて、波をなだらかにすることが政府や中央銀行の役割とされている。 経済は、制御できるとしても、猛獣に芸を仕込むようなもので、猛獣が気で暴れだしたら、人間には手に負えるはずはない。 私は、情報セキュリティについても、経済

    マクロ情報セキュリティと猿のままでいることのコスト - アンカテ
  • キヤノンの最新ドキュメント管理システムはキーワードで複製ブロックが可能 | スラド セキュリティ

    キヤノンの最新のドキュメント管理システム「Uniflow 5」は、特定のキーワードを含んだドキュメントの複製や出力を防ぐことができるそうだ (iTnews の記事、家 /. 記事より) 。 Uniflow はプリンタやスキャナ、コピー機やその他多機能端末を中央管理できるシステムとのことで、Uniflow サーバとキヤノンの Uniflow 対応イメージデバイスから構成される。最新のバージョンではキーワードによるセキュリティ機能が搭載されており、管理者によって設定されたキーワードを含む書類の印刷・スキャン・コピー及びファックスを防ぐことができるとのこと。 例えば設定されたプロジェクト名やクライアント名などのキーワードが含まれるドキュメントの複製等を行おうとすると、そのドキュメントの PDF コピーが作成され管理者にメールが送られるとのこと。ユーザにはキーワードを明かさずに、「処理がブロック

    ucho
    ucho 2010/10/16
    「管理者によって設定されたキーワードを含む書類の印刷・スキャン・コピー及びファックスを防ぐことができる」いいねぇ
  • Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記

    Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d

    Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記
    ucho
    ucho 2010/09/19
    たしかによくわからん
  • サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。

    こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered

    サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
  • 位置ゲーの位置詐称対策で検討すべき事

    OHTSUKA Ko-hei @kokogiko @niryuu 後者の前提で一般的な話をすると、結局ケータイでの位置取得はGET/POSTでの経緯度通知にすぎないので、ユーザが嘘情報を流し込むと詐称されてしまいます。なので、確実に自分達のリンクから来たと検証する手段か、GET/POSTの送付先を知られないための隠蔽手段が必要。 OHTSUKA Ko-hei @kokogiko 前者の場合、Cookieに1回限りの使い捨てセッション埋め込んだり、Refererをチェックしたりで防げます。最近はCookieやRefererに対応したケータイが主流になってきたので、古い(と言っても意外と最近までですが)DoCoMoケータイを無視するならこれが一番簡単かと。

    位置ゲーの位置詐称対策で検討すべき事
    ucho
    ucho 2010/06/12
    すごい、既にこれだけのノウハウがたまっているのか
  • Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン

    Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ

  • WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記

    以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(

    WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
  • 高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想

    ■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は

  • InfoQ: HTTPSコネクションの最初の数ミリ秒

    ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは

    InfoQ: HTTPSコネクションの最初の数ミリ秒
    ucho
    ucho 2010/02/27
    HTTPSが何をやっているのか実例を用いて詳細に解説
  • 突然の大規模DDoS攻撃! その時オンラインゲーム運営はどうする? とっても厳しいiPhoneアプリ、ソーシャルゲームの現実と、将来の展望

    ucho
    ucho 2010/02/18
    危機に対して良い選択を積み重ねた結果
  • SQL Injection Cheat Sheet | Invicti

    Use our SQL Injection Cheat Sheet to learn about the different variants of the SQL injection vulnerability. In this cheat sheet you can find detailed technical information about SQL injection attacks against MySQL, Microsoft SQL Server, Oracle and PostgreSQL SQL servers. What is an SQL injection cheat sheet? An SQL injection cheat sheet is a resource where you can find detailed technical informati

    SQL Injection Cheat Sheet | Invicti
  • AVGがWindows XPのシステムファイルをウィルスと誤認識する不具合 | スラド

    アンチウィルスソフトウェアのAVGが、誤ってWindows XPのシステムファイル(user32.dll)をウィルスと認識し、隔離・削除してしまい、XPが起動できなくなる問題が発生している(ITmedia・家/.記事より) AVGはソフトウェアアップデートを提供するとともに、起動できなきくなった場合に「WindowsをCDからブートして該当ファイル(user32.dll)を復旧する方法」を同社サイトのインフォメーションで告知している。しかし起動できなくなってからではサイトはもちろん見られないだろうし、またCDからブートなどしたことのない一般ユーザには敷居の高い復旧作業になると思われ、かなり致命的なバグと言えるだろう。 AVGは個人ユーザ向けに無償で提供されていることから人気があり、世界で8000万人のユーザがいるとのこと。

    ucho
    ucho 2008/11/14
    この組み合わせは使っているので、起動しなくなったら思い出そう
  • 高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ

    当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。

    ucho
    ucho 2008/11/11
    マイマップを作成したら即「限定公開」にしないと全体に公開されてしまう!
  • The Definitive TypeScript Guide - Blog | SitePen

    Software projects succeed or fail based on the quality of the teams behind them. Expert developers can be hard to find. So how do you get junior developers to level up? It’s not enough to teach how to use a framework or tech stack. Good developers can follow a pattern.

    The Definitive TypeScript Guide - Blog | SitePen