パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
text.ssig33.com - ソーシャルエンジニアリングを利用したクラックへの防衛法
ソーシャルエンジニアリングを利用したクラックへの防衛法 王道と言えるものはあまりないですが、以下二点を気をつければ防御力はそこそこ上がると思います。 1. サイト毎にログインメールアドレスを変える 一般的にパスワードをサイト毎に変更すべしというのは言われています。 そしてパスワードを忘れた際にはパスワードリマインダにサービスに登録しているメールアドレスを記入すると、リセット用のアドレスが該当メールアドレスに届くという流れになります。ここまでは一般常識です。 つまりメールアドレスが何らかの方法でクラックされいた場合、クラッカーはアカウントを乗っ取ることができます。 しかしながら、サイトに登録されているメールアドレスが分からない場合、当然上記のクラックはおこなえません。ですから、サイト毎に登録するメールアドレスを変更すればよいということになります。 具体的にはサイトに登録されるメールアドレス
後付けでトラッキング機能が有効化されることについて、はてなとTwitterの場合 - 最速転職研究会
前: http://d.hatena.ne.jp/mala/20120308/1331193381 はてなのその後の話 http://hatena.g.hatena.ne.jp/hatenabookmark/20120313/1331629463 話題になってからの対応が遅い、という人がチラホラいたけれど、別に対応はそれほど遅いというわけでもないと思う。 これは近藤さんがSXSWというイベントに行っていて日本にいなかったためで、収益にも影響する話なので即断できなかったのだろう。 こういう時にあとさき考えないで不良社員が勝手に広報したり、勝手に修正しても良いと思う(個人の感想です) 公平のため記しておくとHUG Tokyoというイベントで大西さんにおごってもらった(はてなの脆弱性をちょくちょく報告しています) Twitterの話 先日、Twitterが外部サイト上でのボタン、ウィジェットでト
asahi.com(朝日新聞社):「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済 (1/2ページ)
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利
はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
パスワードのマスキングは廃止すべき | スラド
ウェブのユーザビリティの権威であるヤコブ・ニールセン氏が「パスワードのマスキングはセキュリティを向上することはなく、かえってユーザビリティを低下させる」との論を自身のサイトuseit.comで展開している(本家記事より)。 ニールセン氏によると、システムステータスを可視化しユーザにフィードバックを提供することはユーザビリティの基本原則であるとのこと。パスワード入力時に文字列を表示せずに「・」や「●」などの記号を表示することはこの原則と相反すると主張する。 入力時にパスワードがマスクされると誤入力が増えるだけでなく、入力内容を確認できないことからユーザは不安を覚えるという。この不安感からユーザは必要以上にシンプルなパスワードを設定したり、パスワードをどこかのファイルからコピペして、セキュリティを低下させる結果となるとのこと。パスワードのマスクは簡単である上、インターネットの黎明期からデフォル
これだけは知っておきたいセッション変数の基礎
これだけは知っておきたいセッション変数の基礎:もいちどイチから! HTTP基礎訓練中(8)(1/4 ページ) 前回の「基礎のキソ、エブリバディ・セッション管理!」に続き、セッション管理の基本を解説します。宿題の解答編もありますので、クイズを解く感覚でぜひ皆さんも挑戦してみてください(編集部)
エキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる | スラド セキュリティ
驚いた、現在でもスクリプトが埋め込まれている、要注意。 (送られてきているもの自体は、404表記のHTMLに見えるけど、詳しく追ってないので本当に404なのかは不明) それと、safariで「cawjb.com」を(URL入力して)表示させようとすると、「ヤバいところにつなごうとしているよ!!」って教えてくれるのに、こういう方法で読み込まれちゃうと、何もメッセージがでないんだね。 意味半減だよね… この jp.js ページをダウンロードして OS/2システムエディタで開いてみましたが、 <html><head><title>Object Not Found</title></head><body><h1>HTTP/1.1 404 Object Not Found</h1></body></html> としか書かれていませんでした。すでに撤収済み? ただGoogle Safe Browsin
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
livedoorのad4U、拒否できるのは「1ヶ月」だけ - xenoma日記
今は 1 年に延びた模様です(末尾に関連エントリ)。 昨日は楽天ad4Uについていろいろ書いたんですが、今回はライブドアのad4Uについて。ライブドアもドリコム式行動ターゲティング広告「ad4U」を利用しているサイトだ。サイトの訪問履歴を基準に広告を出してくるというのは当然一緒だから、今さら書くことなし。でも、拒否に対する姿勢に違いがあるので、それについて書く。 livedoorのad4Uを拒否する方法 楽天のad4Uを拒否する方法は前回のエントリをご覧ください。ざっくり言えばこんな感じです。 所定のページで拒否する意思を示す (楽天の)ad4Uを無効にするcookieが渡される 有効期限は1年 ただし、NGUserIDなる(おそらく重複なしの)識別用IDも同時に渡される livedoorの場合も所定のページで拒否の意思を示せばOK。下記から設定できる。 株式会社ドリコムの行動ターゲティン
仮想geek的女子による女の子的感覚の代弁 - ぼくはまちちゃん!
(前の日記)geekと女の子的感覚の違いへの追記 はてな: はてなスターのつけた/つけられた一覧がユーザーごとに見られるページつくったよ! どうぞご利用ください! geek: (おーやっと作ったんだ) べんりだねー。 女の子: (まさか晒されるとは思ってなかった…、スター削除してまわらないと) これはひどい…! geek: は? なにがひどいの? 女の子: 晒しとか最悪 geek: あのさ、そんなページなくても、きみのスター、今までだって僕個人で集計できていたんだから 女の子: これだからgeekは… geek: スイーツ乙 女の子: …じゃあ言うけど、あなたの住んでいるマンション、多くの世帯が集合ポストで名前を公開しているよね? じゃあそれ、べんりなようにネットで閲覧/検索できるようにしてもいいってわけ? それ日本中の住宅に対してやっちゃうことも技術的に可能だよね geek: …それ別に
学生はネット上で気を抜くべからず:Geekなぺーじ
昔から後輩や知らない学生がネット上で色々と撒き散らしているのを見ることがあります。 本人が気づいていないだけである場合もあるので、今回まとめて書いてみる事にしました。 なお、学生であろうが無かろうが気をつけた方が良いと思われるものも含まれます。 何故ネット上で気を抜いてはいけないのか そもそも、何故ネット上で公開する内容に気をつけなければならないのでしょうか? それは公開することで不利益が生じる可能性があるからです。 高校入試で落ちるかも知れない 最近、茶髪・眉剃りをしていた受験者を高校が落とすという事件がありました。 今回の事件は茶髪・眉剃りが原因でしたが、近い将来「ネット上での言動が高校入試に影響」という事件が発生するだろうと予測しています。 「高校入試、茶髪・眉そりチェックし不合格 神奈川の県立」 就職活動に影響を与えるかも知れない 就職活動に影響を与える恐れがあります。 実名を公開
「WEP」はもう危険? 家庭の無線LANセキュリティ対策を考える
無線LANの暗号化方式「WEP」が、わずか10秒で解読されるという発表がコンピュータセキュリティシンポジウム2008で行われた。今回の特集ではWEPの危険性を踏まえた上で、家庭内で行える無線LANのセキュリティ対策について考えていく。 ■ 「WEPは約10秒で解読できる」と大学教授が発表 2008年10月に開催された「コンピュータセキュリティシンポジウム2008」で、神戸大学と広島大学のグループから無線LANの暗号化方式である「WEP」の解読にわずか10秒で成功したという興味深い発表がなされた(関連記事)。 無線LANは、電波を利用することで、面倒な配線をすることなくPCやゲーム機などをネットワークに接続することができるという利便性を持つ反面、そのセキュリティも問題になりがちだった。PCやゲーム機の間を流れるデータが電波の形で存在するため、これを盗聴することでその内容が第三者にも見えてしま
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: music videos All Inclusive Vacation Packages Parental Control High Speed Internet Free Credit Report Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
高木浩光@自宅の日記 - Yahoo!ケータイ初回利用時のユーザID通知に関する告知
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2009/09/01/20090831the-almost-hopeless-challenge-of-web-security/
PHPでのセキュリティ対策についてのメモ - Liner Note