Mac, iPhone, iPod touchでL2TP over IPSec – サーバ設定編
Mac, iPhone, iPod Touchで使えるVPN(Virtual Private Network)接続方式のひとつL2TP over IPSecを用いてLinuxサーバに接続できるようにするお話です。今回のサーバ設定編はLinux上の設定のオンパレードになります。 まずは全体の使用環境から。 クライアントマシンであるMac, iPhone, iPod touchはインターネットに直接、あるいはNAT(Network Address Translation)越しに間接的に接続するものとします。 サーバマシンはプライベートネットワークに接続していて、ゲートウェイマシンのStatic NATによりインターネットから特定の通信のみ受け付けるものとします。 両端にNATありでVPNの設定としてかなり厄介なのですが、よくある使用環境ともいえます。 今回の設定例ではそれぞれ以下のようなアドレ
政府が検討中のISPに対する「海賊版を自動検出する技術の導入」義務付け、影響範囲は広い? | スラド YRO
まず、既存の音楽や映画のデータベースを用意しないといけない。 それで、アップロードされたファイルをデータベースと照合しないといけない。 全作品のデータベースの構築なんて、個人や中小の私企業じゃほぼ無理。データベース構築ができる機関が必要。そして、その機関の運営資金は 税金から出るコンテンツを製作している企業から出る=コンテンツ料金に加算され、正規利用者が負担することになる特定電気通信役務提供者が資金を負担(機関からデータベースを購入または共同で機関を運営)=プロバイダ料金に加算/サイトの場合は広告料収入で運営資金を賄うのが難しくなり、有料化や閉鎖となるところが増えるのどれかになるわけです。 さらに、データベースとの照合でも苦労を要します。 例えばmd5をとるだけでいいのなら、(データベースが大きすぎることを除けば)そんなに手間はなさそうですが、 それだと、圧縮の種類や質、メタデータによって
安易な位置情報の公開に警鐘を鳴らす「Please Rob Me」(どうぞ空き巣に入って) | スラド セキュリティ
TwitterやFoursquare、Google Buzzなどで位置情報を「ダダ漏れ」にすることに対する警告として「Please Rob Me」(どうぞ家に空き巣に入ってください)というサービスが立ち上げられたそうだ(マイコミジャーナル、本家記事)。 このサービスを開発したのはForthehackと名乗るチーム。Twitterと連動するFoursquareのデータを元に、直近で家を出たユーザの情報を「New Opportunities」どんどん更新し表示していく。開発チーム曰く「誤解しないで欲しい。我々もロケーション機能はとても面白いものであると思っているが、人々がこの機能に刺激を受け、情報を共有する様はあまり褒められたやり方とはいえない」とのことで、位置情報の安易な公開に対して警鐘を鳴らすことが目的であるとのこと。 Forthehack曰く、このサービスは空き巣を推奨するためのものでは
Chuck Norris、Linuxベースのルーターやモデムを襲撃 | スラド セキュリティ
アメリカでは、その特異なキャラクターから彼を題材にしたチャック・ノリスジョークなるものが数多くあり、しばしば人々の間で笑いの種になっている。 * Guns don't kill people. Chuck Norris kills people. (銃が人を殺すのではない、チャック・ノリスが人を殺すのだ。) 注:安易な銃規制に反対するスローガン「銃が人を殺すのではない、(銃を悪用する)人が人を殺すのだ。」のパロディ * The leading causes of death in the United States are 1.Heart Disease 2.Chuck Norris 3.Cancer. (合衆国内での主な死因は 1.心臓病 2.チャック・ノリス 3.癌 である。) * Chuck Norris doesn't read books. He just stares them
Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
いい人の脆弱性 - レジデント初期研修用資料
今は誰もがネットワークでつながっていて、自分がどれだけ気をつけたところで、つながりを持った誰かから、漏れてはいけない情報は、簡単に漏れてしまう。 情報が漏れたところで、そもそもそれが問題にならないような振る舞いをしていれば大丈夫なはずなんだけれど、「漏れた」という事実を受け取る側も、やっぱりネットワークでつながっているものだから、「こんな話を聞いた。御社は一体どうなっているのか」なんて、攻撃者が、別の誰かにそのことを告げたときに、その人が、ネットでの自分の振る舞いを、額面どおりに受け取ってくれるとは限らない。 知らない人ほど恐怖する ネットに疎い人は、ネットを気持ち悪いと思うし、ネットの評判を必要以上に怖がる。 掲示板での叩きみたいなものは、たいていの場合は他愛のない悪口で、笑い飛ばせば、話はそれで終わる。よしんばそれが、犯罪性を持ったものであったとしても、ネット世間は忙しい。黙って口をつ
PROXY(プロキシ)経由でのDNSリバインディングと対策
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年4月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、PROXY経由でWebアクセスしている場合のDNSリバインディング対策について考察する。 PROXY(プロキシ)経由でWebアクセスしている場合、DNSによる名前解決はブラウザではなくPROXYにより行われる。したがって、 ブラウザ側ではDNS Pinningできないので、PROXY側での対策が重要になる。 広く使われているPROXYサーバーであるsquidの場合、DNS Pinningに相当するパラメータは、negative_dns_ttlであり、デフォルト値は1分間である。したがって、最初
安全な実装方法を解説、IPAが「安全なSQLの呼び出し方」公開
独立行政法人情報処理推進機構(以下、IPA)は3月18日、SQLインジェクション攻撃が継続していることから、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」(全40ページ)を公開した。 近年、Webサイトを狙った攻撃が後を絶たない。IPAが公開しているSQLインジェクション検出ツール「iLogScanner」で、脆弱性対策情報データベース「JVN iPedia」のアクセスログを解析しても、全体の45%がSQLインジェクション攻撃、38%がディレクトリ・トラバーサル攻撃によるトラフィックなのだという。 中でもSQLインジェクションは深刻な被害が発生することから、今回、具体的な対策を解説した資料を制作。IPAのWebサイト上で公開した。 データベースと連動するWebアプリケーションの多くは、Webサイト利用者からの入力情報を基にデータベースへの命令文(SQL文)
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
RSA暗号
1978年R. L. Rivest, A. Shamir, L. M. Adleman は新しい公開鍵暗号システムを発表しました。この暗号は現在,3人の名前を取ってRSA暗号と呼ばれ,現在インターネット上で実際に 広く使われています。 ここでは,公開鍵暗号とその中で代表的な暗号である RSA暗号を紹介します。 現在使われている暗号の分類法で,共通鍵暗号,公開鍵暗号というものがあります。 暗号は 平文→(暗号化)→暗号文→(復号)→平文 のように,暗号化と復号によって構成されます。この暗号化と復号では各々鍵を使います,それらをそれぞれ暗号化鍵,復号鍵と言います。 普通の暗号は 暗号化鍵と復号鍵が同じか,一方から他方が簡単に計算できる 性質があります。この場合,暗号化鍵または復号鍵の両方を秘密にする必要があります。このような暗号を共通鍵暗号と言います。 これに対して,
Ruby On Rails Security Guideの訳 : 2.Sessions 2.1 - 2.3|株式会社 フラッツ
こんにちは。木村です。 今回はRuby On Rails Security Guideの訳 : 概要 + 1.Introductionの続きです。 前回、1セクションずつ掲載していくと書いていましたが、長いセクションがあるため、その場合は分割して掲載していくことにします。今回は2 Sessionsの2.3 Session Hijackingまでです。 原文の単語と全く違う言葉に置きかえている場合も多々あります。原文ページと併せて、ご覧下さい。気になる箇所や間違っている箇所があれば、どうかご指摘下さい。 では、以下訳です。 2.セッション セッションはセキュリティを調べ始めるには良い箇所です。セッションは特定の攻撃の的になります。 2.1 セッションとは何か? - HTTPはステートレスなプロトコルです。セッションがあることでステートフルになります。 ほとんどのアプリケーションは、特
PHPのSession Adoptionは重大な脅威ではない - ockeghem's blog
なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣氏の主張は間違っていると私は思う。 以下、大垣氏の主張を実際に試してみる形で、順に説明しよう。 大垣氏の主張 大垣氏の主張は、PHPにはSession Adoption脆弱性があるために、標準的なSession Fixation対策であるsession_regenerate_id()を施しても、その対策は有効ではないというものだ。 しかし,実際には現在に至るまでPHPのセッションモジュールのセッションアダプション脆弱性は修正されないままになっています。このために,本来はsession_regenerate_id関数をログイン
Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記しました) (2009/04/12 7:24 pm 再度追記しました) 先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。 内容としては、 1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される 2. プロフィールの Web が改ざんされる 3. 改ざんされたユーザーのページを見ると、自分のプロフィールも
IPAの新版「セキュア・プログラミング講座」がイマイチだ
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク)。 備忘のため転載いたしますが、この記事は2009年3月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 2002年3月にIPAから公開されたセキュア・プログラミング講座は、その後2007年に新版が公開された。旧版は今から7年前のコンテンツがベースになっているので現在の目から見ると色々突っ込みどころがあるが、2002年という時期にこれだけのコンテンツを揃えたというのは立派な仕事だったと考えている。 一方、2007年の新版はどうか。部分的に見れば「開発工程と脆弱性対策」の関連について言及するなど意欲的な内容もあるが、全体としては物足りない。新版が出た当時も「例えば、PHPを避ける」という表現が話題になったくらいで、同じIPAから公開され
第2回 UTF-7によるクロスサイトスクリプティング攻撃[後編] | gihyo.jp
前回に引き続き、UTF-7によるクロスサイトスクリプティング(XSS)について説明していきます。 UTF-7によるXSSは、攻撃対象のコンテンツの文字エンコーディングが不明瞭な場合に、そのコンテンツを被害者のブラウザ(Internet Explorer)で開いたときに、そのコンテンツの文字エンコーディングがUTF-7であるとIEに誤認させ、「+ADw-script+AD4-」のようなUTF-7の文字列が有効なHTML要素として認識されるために発生します。 そして、「文字エンコーディングが不明瞭」な具体的な状況として、以下のような条件のいずれかに該当するということを前回説明しました。 レスポンスヘッダ、meta要素のどちらでもcharsetが指定されていない charsetにIEが解釈できないエンコーディング名が指定されている meta要素でcharsetを指定しているときに、meta要
![第2回 UTF-7によるクロスサイトスクリプティング攻撃[後編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
すごい勢いで銀行やWEBのパスワードを可視化させるIC免許証
IC免許証がヒドイんです。 免許を書き換えようとして警察に行ったら、受付の申込書と一緒に、これからは免許がIC免許証になるから、つきましては4桁数字のパスワードを二つ書け、と。 言われるがままに思いつくパスワードを2つ書いて提出したら、こんな紙が返ってきました。 こんなことが書いてあります。 ICチップに次のとおり登録しました。この用紙は免許証とは別に保管しましょう。 というか、この紙に印刷されているパスワードは、とても大事なあっちのパスワードと、こっちのパスワードなんですけど。。。 何が問題か? 問題1.警察に免許書き換えに行ったら、申込用紙を書く際に、パスワードを2つも書けと言われた。 このパスワードを書く時点で、こうやって後から紙で返ってくることはわからないわけだから、当然、忘れない2つのパスワードを入力するハズ。プライオリティの高いツートップのパスワードを2つ入力してしまう可能性は
インプレスIT INSIDE » 訂正 SQLインジェクションの対策(Think IT)
訂正記事 SQLインジェクション大全 第3回:SQLインジェクションの対策 訂正内容 1ページ目を下記のように変更いたしました(2個所)。 バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 ↓ SQL文のひな型とバインド値は個別にデータベースに送られ、構文解析されるので、バインド値に悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 しかし、LIKE句を含むSQL文などについてはバインド機構の適用に注意を要する。これは、「%」や「_」といったワイルドカード文字がバインド機構によってエスケープされないため、割り当てる変数の内容によっては予想外の問い合わせ結果が返ってくる可能性があるからだ。この場合、バインド機構に変数を割り当てる前に、エスケープ処理を使用して、変数に格納されて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MS無料ウイルス対策ソフトでできること、できないこと 「Microsoft Security Essentials」導入レポート
連載記事 「習うより慣れろ! iptablesテンプレート集」
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書|脆弱性診断.jp