Windows XPの最後の治療と死4月8日、マイクロソフトの医師団は、Windows XPの治療を行い、これが最後の延命となることを改めて宣言した。治療を受けたばかりのXPは、見たところ元気そうだったが、それはかりそめの健康だった。4月26日、XP(IE)に重大な病魔が発見されたのだ。「治療は、治療はできないのですか?」利用者の問いかけに、医師団は悲しげに首を振った。Windows XPの最期であった。
バリデーション、エスケープ、フィルタリング、サニタイズのイメージ
バリデーション、エスケープ、フィルタリング、サニタイズの用語は分かりにくいので、イメージで説明します。 “><script>alert(‘xss’);</script> という入力文字列が、それぞれどうなるかを示します。 ※1 厳密な定義ではありません(要件や文脈により変化します) ※2 バリデーションという用語は非常に幅があります(ここの「名称補足」参照)。 ※3 サニタイズという用語は非常に幅があるで、使う場合は事前に語義を定義しましょう(参照)。
Adobeに登録していたメールアドレスにspamが来た
10月3日にAdobe社が不正アクセスされ、290万人の個人情報が漏えいしたとする件ですが、その後米国のセキュリティ情報サイト「Krebs on Security」からツッコミが入ったようです。 米Adobe Systemsのユーザー情報などが不正アクセスされた事件で、米セキュリティ情報サイトの「Krebs on Security」は10月29日、影響を受けたユーザーは少なくとも3800万人に上ることが分かったと伝えた。Adobeはこの問題が発覚した10月3日の時点で、「影響を受けたユーザーは290万人」と発表していた。 Adobeへのサイバー攻撃、不正アクセスの影響は3800万人により引用 犯人の狙いなどは不明ですが、いかの報告もあります。 Adobeにはこれまでのところ、流出したユーザー情報が不正行為に使われたとの情報は入っていないという。 Adobeへのサイバー攻撃、不正アクセスの影
徳丸浩のtumblr
““ラジコン”から学んだこと そして、「なんであんなにうまく走れるんだろう?」とつぶさに観察していましたら、なにかノートをつけているんですね。「なんでラジコンでノートをつけなきゃいけないんだ?」と思ったんです。 「なに書いてるの?」と聞きましたら、「セッティングを書いてるんです。1回1回変えて走ってるんです」と。 ノートには、気温・湿度・路面温度・セッティング……いや、ラジコンといってもバカにしちゃダメなんです。実車と同じぐらいセッティング箇所があるんですね。スプリングも何百種類もあります。それを一つひとつ試して、こういう路面・こういう温度の時はどういうセッティングがいいかというのをノートに記していました。 ノートを取って、セッティングを覚えて、どんどん早くなってくる彼らを見た時に、私は当時1億円プレーヤーでしたが、「私、こんなに一生懸命に野球やってるかな」「1億円お金もらってるのに、この
ブログとソーシャルブックマークの移行について
はてなブックマークボタンを外しましたでご案内しましたように「当面の間、はてなのサービス(ブックマーク、日記)は少なくとも新規の更新をやめ」ておりましたが、それから一ヶ月が経過し、株式会社はてなの対応も変化がないようですので、当面ではなく恒久的に上記の更新をやめようと思います。 これまでの間、両サービスの移行先を検討しておりましたが、以下のようにしたいと思います。 ブログについてはてなダイアリーについては、ここtumblrを移行先とします。徳丸は他のブログも運用しておりますが以下のような使い分けにしたいと思います。 tumblr:小ネタ、書評、セミナーやキャンペーンの案内のうち個人的なもの徳丸浩の日記:技術的な内容のコラムHASHコンサルティングオフィシャルブログ:製品やサービスの案内、セミナー等の告知。宣伝成分多し従来のはてなダイアリーには、軽めの技術ネタも書いていましたが、ネタ成分の多い
勝手に解説:大垣流バリデーション入門
大垣さんは、かねてより「バリデーションは重要なセキュリティ対策である」という持論を持っておられます。そして、それは「世界の常識」と指摘されています。 「入力バリデーションはセキュリティ対策である」は世界の常識です。少なくとも大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えています。 第45回 入力バリデーションはセキュリティ対策 :なぜPHPアプリにセキュリティホールが多いのか?より引用 私は「バリデーションはセキュリティ対策とは言えない」と思っているのですが、実は「世界の常識」という点に異論があるわけではなくて、話は逆なのです。「従来からバリデーションはセキュリティ対策としてとらえられてきて『世界の常識』となっているが、実はそれはおかしいのではないか?」という問題提起をしているのです。なので、「世界の常識だろ」と言われても、それでは反論になっていま
もう入力値検証はセキュリティ対策として *あてにしない* ようにしよう
スタックオーバーフロー対策をする場合、関数の入口でチェックすれば大抵対策可能なんだけど、それだと対策漏れの可能性があるから、例えば、strcpyの代わりにstrncpyあるいはもっと高機能な文字列関数を使うことが当然になってきました。 これは、入口でのチェックだと漏れやすいから、脆弱性が発生するその箇所で対策するという考え方にシフトしているのだと私は考えます。 Webアプリケーションの場合も同様で、XSSやSQLインジェクションの対策は、脆弱性の発生する箇所、すなわち、HTMLの生成とか、SQLの呼び出しの時点で行います。いや、これらは「セキュリティ対策」ではなく、全ての文字を扱うために必要なエスケープ処理に過ぎないので、例がよくないですね。例えば、パストラバーサル脆弱性対処のためのファイル名の確認は、ファイルをオープンする直前(ファイル名を使う直前)に行うべきだ、という考え方です。 スタ
社畜論に学ぶ「プロブロガー」の文章術
それでは、なぜ読んで不快になるかですが、以下のように「図星だから怒るのでしょう」という意見もあります。 おもしろい。社畜の人はあたってるから怒るんでしょうね。w / 社畜と家畜の共通点 ikedahayato.com/index.php/arch… @ihayatoさんから しかし、そうとは限らないと思います。このエントリが不快になる理由は、文章が曖昧だからです。 元エントリは以下のように始まっています。 巷でよく言う「社畜」って何なんでしょうね?と思ったので、家畜との共通点を洗い出してみましたよ。 飼われている家畜は牧場主に飼われています。【後略】 社畜と家畜の共通点を列挙する形で始まっているのですが、この文章には以下の二通りの解釈が可能です。 日本のサラリーマン、すなわち社畜は、家畜と共通する以下の性質があるサラリーマンのうち、家畜と共通する以下の性質を持つものを社畜と言う1. と受け
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
hostsファイルにループバックアドレスを指定することは危険か?
Androidの広告よけにhostsファイルを書き換えるAdAwayというアプリ(ルート化必要)が紹介されています。それがきっかけとなり、hostsファイルを書き換えることの危険性、とくに他人が作ったhostsファイルをそのまま自端末に適用してしまうリスクがtwitterで話題になりました。 これはまったく正しいのですが、なかのきえた氏から、以下のようにlocalhostのIPアドレスを記述することも問題と指摘がありました。 @shigecchi2007 @ks_desire localhost系を書くこともヤバイのです。WindowsでローカルのIISが回り込まれたりWinNTの頃から既知の問題なんです。やるならFirewall機能で適切にブロックする事が必要です。 9月 23, 2012これに対して、ko-zuさんから、ループバックやLAN内ホストでの脆弱性対策についてというブログ記事
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - ockeghemのtumblr
アノニマス匿名のハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。(注:当初anonymous hackersをアノニマスハッカーと訳していましたが、ここは「匿名の」という意味ですね。訂正します) 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAの説明によれば、改ざんは外部のセキュリティベンダーからの通報で判明した。ただし「ベンダーの具体名を公表するのは差し控えたい」... - 徳丸浩のtumblr