第1回神泉セキュリティ勉強会資料¶ ECナビ 春山 征吾(@haruyama) 以下でWebシステム開発に関して疑問に思っている点を挙げていきます. プレゼンテーションではパスワード保存の部分のみとりあげます. 当日に向けてじわじわ書いていきます. プレゼンテーションで利用しない部分はちゃんとした記述をしないかもしれません. 疑問点を挙げるのでもやもやした感じになります 1.1以外はかなり適当です.
第1回神泉セキュリティ勉強会資料 — 2010/10/26 第1回神泉セキュリティ勉強会用資料 v1.0 documentation
第1回神泉セキュリティ勉強会資料¶ ECナビ 春山 征吾(@haruyama) 以下でWebシステム開発に関して疑問に思っている点を挙げていきます. プレゼンテーションではパスワード保存の部分のみとりあげます. 当日に向けてじわじわ書いていきます. プレゼンテーションで利用しない部分はちゃんとした記述をしないかもしれません. 疑問点を挙げるのでもやもやした感じになります 1.1以外はかなり適当です.
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
FAQ for YAMAHA Router Series / Security
IPの実装におけるサービス運用妨害(DoS)の脆弱性について ヤマハルーターシリーズのIPの実装に脆弱性が存在することが分かりました。対象となる機種及び対策方法につきましては下記をご確認いただき、必要な場合には対策を行ってください。 脆弱性とその概要 JVN#55714408 ヤマハルーターシリーズのInternet Protocol (IP) の実装には、不正なIPヘッダオプションを処理することに起因するサービス運用妨害 (DoS) の脆弱性が存在します。 IPヘッダの特定箇所に不正な値が挿入されていると不正なメモリ領域を参照してしまうため、場合によってはリブートすることがあります。 なお本脆弱性は、ルーターに直結されたPCからの攻撃に対しては成立する可能性がありますが、インターネット経由での攻撃に対して成立する可能性は低いと判断しております。具体的な理由につきましては「インターネット経
エフセキュアブログ : 消えそうで消えないAndroidマルウェアの登場か!?
消えそうで消えないAndroidマルウェアの登場か!? 2011年03月05日01:30 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 先日の記事にも取り上げられていますDroidDream(Rootcager)についてです。 記事にもあります通り、「rageagainstthecage」を利用しroot権限を奪取します。 その後にパッケージなどをダウンロードしたりします。詳細はこちら。 参考URL: 新たな Android の脅威による端末の root 権限の取得 Android Marketでマルウェア入りアプリケーションが配布されたことも驚きですが、マルウェアによるroot権限の奪取は、「ついに来たか!」といった印象を持ちました。 $ pwd $ SuperSolo/assets $ ls -l total 184 -rw-r--r-- 1 analy
高速WebサーバNginxセキュリティ設定20 | エンタープライズ | マイコミジャーナル
The main aim is to document the hurdles that most of us face as UNIX/Linux/BSD sys admin in our day today life. WebアプリケーションのシェアはApache HTTP Web Serverが揺るぎない。Netcraftの報告によれば、1996年にApacheがWebサーバシェアのナンバーワンになってから14年間、 Apache HTTP Web Serverは常にナンバーワンシェアを誇るWebサーバであり続けている。しかし変化がないわけではない。軽量高速のWebサーバは常に注目を集める分野であり、ここ数年で「Nginx」がその土台を築きつつある。 Nginxは軽量で高速なWebサーバ。リバースプロキシサーバ、メールプロキシサーバとしての機能も備えている。トラフィックが高いサイトで
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ
Webシステム/Webアプリケーションセキュリティ要件書 セキュリティ要件書 トライコーダでは、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書『発注者のためのWebシステム/アプリケーションセキュリティ要件書』を公開していました。 2013年11月1日からは、OWASP の 『セキュリティ要件定義書ワーキンググループ』に『Webシステム/アプリケーションセキュリティ要件書』としてドキュメントを引き継いでいます。 Webアプリケーションのセキュリティ要件は明確 セキュリティ対策に終わりはないと言われていますが、Webアプリケーションにおいては、ここ数年まったく新しい攻撃手法はほとんど発見されていません。つまり、Webアプリケーションを安全に構築するためのセキュリティ要件は明確になっているのです。 今後も新しい攻撃手法が発見されないとは限りませんが、少なくとも現在起きている攻撃の大
迷惑電話番号サーチズ
【重要なお知らせ】 情報を提供していただく際は、着信日、時間、着信回数等の情報のみご提供下さい。 電話してきた相手の個人名や企業名を特定したり、相手を誹謗中傷するような表現等、相手の権利を侵害するような書き込みは避けていただきますようお願い致します。ご提供いただいた情報の全部又は一部が、電話をしてきた相手の権利を侵害するか若しくは侵害のおそれがある、違法か若しくは違法のおそれがある、又は不適切で あると当社が判断した場合は、該当箇所を削除することもあります。本サイトに情報を書き込まれる方はこのことをご了解いただいた上で利用されてい るものとして扱います。この点ご了解下さい。 なお、当社ではシステム上書き込みをされた方を特定できませんので、書き込みをされた方の承諾を得ることなく上記削除を行うことになります。本サイトを利用する方は、この点についてもご了解下さい。 本サイトを利用される方は以上を
第35回 覗き見対策 | WIRED VISION
第35回 覗き見対策 2009年9月15日 (これまでの増井俊之の「界面潮流」はこちら) パスワードを使って計算機やWebサービスにログインするとき、パスワードは「****」のように伏字で表示されるのが普通です。秘密のパスワードが表示されて他人に見られると大変ですから、このような方法で入力文字を隠すのは当然と考えられていますし、他人がパスワードを入力しているときはキー操作が見えないように別の方を向くのが常識的なマナーだと思われています。 ところがユーザビリティの専門家であるJacob Nielsen氏が6月23日に突然、自分のブログで「パスワード入力の伏字は有害である」と言いだしました。 伏字が有害だとNielsen氏が言った理由は以下のようなものです。 ユーザの操作に対しては常にフィードバックが返るべきである 本当にパスワードを盗もうとする奴はキーボードを見るから伏字にしてもあまり意味が
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
PHPの設定をセキュリティの観点から改善·PHP Security Consortium MOONGIFT
PHPは広く数多のWebサーバでインストールされ、使われている。設定ファイルは殆どそのままで使われていることが多いのではないだろうか。だが4.2より前のバージョンではregister_globalsのデフォルトがOnになっていたなど、利便性とセキュアであることとの関係で潜在的な問題はあるかも知れない。 php.iniのセキュリティチェックに 見直すのはPHPの設定ファイルであるphp.iniだが、多数の設定があるのでぱっと見では設定の善し悪しが分かりづらいかも知れない。そこで使うのがPHP Security Consortiumだ。 今回紹介するオープンソース・ソフトウェアはPHP Security Consortium、PHPのセキュリティ設定を見直すソフトウェアだ。 PHP Security ConsortiumはPHPで作られたソフトウェアで、phpinfo()から得られる情報を使っ
携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
Firefoxからsshのダイナミック転送を使って非公開サーバへアクセスする - 射撃しつつ前転 改
sshにはダイナミック転送という機能がある。この機能を使うと、sshはアプリケーション側にはSOCKSプロクシとして振る舞うが、そこからsshの接続先までは暗号化された状態で通信が行われる。 これだけだと通常のトンネリングとどう違うのかよくわからないかもしれないが、ダイナミック転送の場合は転送ポートを指定する必要がない。ここがダイナミックと表現される所以だろう。 例えば、オフィスAにある開発サーバdev1にオフィス外からアクセスしたいとする。しかし、dev1はオフィス外には公開されておらず、踏み台サーバladd1を経由してしかアクセスするしかない。ladd1はsshのみが動いており、これまではsshのトンネリング機能を使ってアクセスしてきたのだが、ウェブアプリケーションをデバッグする際はいちいちウェブアプリケーションのポート毎にトンネルを掘るのが面倒くさい。オフィスに限らずデータセンターへ
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
ページ内の画像のダウンロードを超簡単に制限できる「dwImageProtector for jQuery」:phpspot開発日誌
ページ内の画像のダウンロードを超簡単に制限できる「dwImageProtector for jQuery」 2009年06月15日- dwImageProtector Plugin for jQuery ページ内の画像のダウンロードを超簡単に制限できる「dwImageProtector for jQuery」。 Flickr などで導入されていますが、右クリックしてダウンロードしようとすると、元画像ではなくダミーの画像のダウンロードが開始する、という仕組みを簡単に実現するためのjQueryプラグインです。 ダウンロードしようとすると、ダウンロード開始するものの、ダミー画像(blank.gif)がターゲットになります。 単純に、元画像にダミー画像(blank.gif)を被せているというハックなのですが、画像の右クリックダウンロードを抑制したい方には便利に使えます。 以下のようなケースで保存す
Rubyで共通鍵暗号(openssl)を使う - へびにっき
require 'openssl' def encrypt(cipher, msg, pass) salt = OpenSSL::Random.random_bytes(8) enc = OpenSSL::Cipher::Cipher.new(cipher) enc.encrypt enc.pkcs5_keyivgen(pass, salt) return enc.update(msg) + enc.final, salt end def decrypt(cipher, crypt_msg, pass, salt) dec = OpenSSL::Cipher::Cipher.new(cipher) dec.decrypt dec.pkcs5_keyivgen(pass, salt) dec.update(crypt_msg) + dec.final end cipher = 'aes-2
Firefoxをセキュアに--お勧めアドオン10選
文:Don Reisinger(Special to CNET News.com) 翻訳校正:村上雅章・野崎裕子 2009-06-03 08:00 ウェブサーフィンを安全に行うということは極めて重要であるものの、安全さと快適さは時に相反する場合がある。しかしFirefoxのユーザーであれば、セキュリティを強化するアドオンをインストールしておくことで、ワームやハッカー、フィッシング詐欺といった脅威に備えることができるのだ。 ただし、こういったアドオンをインストールしたからと言って、絶対に安全であるとは言いきれないという点は述べておく必要がある。信頼できるサイトのみを訪問し、出所の不明なファイルをダウンロードしないということを常に心がけてほしい。 #1:BetterPrivacy BetterPrivacyを使用することで、有効期限が長く、削除されないトラッキングクッキーの脅威から身を守ること
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The 25 Worst Passwords of 2011
http://www.androidsecurity.jp/