タグ

技術情報とセキュリティに関するyomamaのブックマーク (68)

  • サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。

    こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered

    サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
  • iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ

    先にこちらからご参照下さい iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PM 「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz 続きを読む

    iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ
  • WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記

    以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(

    WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
  • 高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない

    ■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管

  • 携帯電話で個体識別番号の取得方法

    ケータイで個体識別番号の取得方法 個体識別番号とは? 携帯電話毎に割り振られている固有の番号を個体識別番号と言います。呼び方はキャリア毎に異なり、「製造番号」「FOMA端末製造番号」「FOMAカード(UIM)製造番号」「EZ番号(サブスクライバID)」「端末シリアル番号」と言います。 設定によってHTTPヘッダで情報を個体識別番号を送信します。古い端末や一部の端末では送信しないようです。 Docomo(ドコモ)・・・製造番号、FOMA端末製造番号、FOMAカード(UIM)製造番号 取得方法・条件 a要素、form要素にutn属性を付ける事で送信許可を求め、ユーザが同意すれば「HTTPヘッダのHTTP_USER_AGENT」に端末情報を載せて送信する。HTTPヘッダのHTTP_USER_AGENTから取得でき、FOMA端末からは「FOMA端末製造番号」「FOMAカード製造番号」が、非FOMA

  • 『携帯電話の「簡単ログイン」は個体識別番号を使ってこんなふうに作れます』

    たいていのWEBアプリはユーザ名とパスワードを聞かれて認証を行います。これはちょうど家に鍵をかけるようなもの。それほど重要でない情報のみのサイトならこれで十分ですが、貴重な情報があるとなるとそうはいきません。 この物騒な世の中、鍵ひとつじゃ安心できないわという声も聞こえてきます。最近セキュリティの高いところでは、やれ指紋やら静脈やら虹彩やらで個人を識別して鍵が開くようになってきていますね。WEBアプリにもユーザ名とパスワードの鍵以外に、端末の識別番号を使って認証する方法があります。 さて今日は携帯電話に焦点を当てて、ユーザ名とパスワード+自分の携帯からしかアクセスできないというように変える方法をご紹介。 携帯端末には一台一台に電話番号とは別の個体識別番号があります。この番号を、ユーザがサイトにアクセスしてきたときにプログラムで取得することができます。個体識別番号をサーバ側に保存しておき、認

  • 携帯電話・個体識別情報(番号)の取得方法、uid、iモードID(guid)、EZ番号、端末シリアル番号

    携帯電話・個体識別情報(番号)の取得方法、uid、iモードID(guid)、EZ番号、端末シリアル番号 個体識別情報とは 各携帯電話には1台1台、個体識別情報(個体識別番号)というユニーク(唯一)な番号が付いている。 携帯電話の製造番号のようなもの。 主に非公式サイト(勝手サイト)にて会員を識別するために利用されている。 一方公式サイトでは、一般的にユーザID(uid)と呼ばれる端末のIDを取得して会員を識別している。 現在、ドコモ以外は公式サイトで使われているuidを取得することができ、非公式サイトでも利用されている。 個体識別情報を取得できる機種は、ドコモは503以降・FOMA以降、auは全機種、ソフトバンクはパケット通信対応機種以降。 古い機種は個体識別情報を取得できない。 また個体識別情報は、使用する携帯電話にて端末ID(製造番号)を通知する設定にしていないとサイトにてIDを取得で

  • 携帯業界の認証事情 - y-kawazの日記

    巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認

    携帯業界の認証事情 - y-kawazの日記