岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。
ニコニコ動画で、有名セキュリティソフトを使って実際にマルウェアを検出できるかどうかを実験した動画が話題となっている。対象となっているのは国内外の有料・無料ソフトのほぼ全て。注目の結果は、実に驚くべきものになっているぞ。 この動画の投稿主は、100体のマルウェアに感染した状態のパソコンで、各社セキュリティソフトを使ってスキャンを行い、検出力を比較したとのこと。結果は以下の通りだ。 1位 F-secure internet security 94/100 2位 kaspersky 93/100 3位 a-squared Free 89/100 4位 BitDefender 86/100 5位 ウイルスバスター 85/100 6位 GDATA 84/100 6位 COMODO Internet Security 84/100 8位 Mcafee トータルプロテクション 83/100 9位 Avi
前回の日記に続き、セキュリティ&プログラミングキャンプ・キャラバン2009 名古屋に参加してきましたので最後の質疑応答と懇親会でのメモを書いておきます。 セキュリティ&プログラミングキャンプ 質疑応答・フリーディスカッション(人生相談) メモが追いついた範囲です。すべて正しい訳ではないです。 聞き間違いも中にあると思います。 参考程度でお願いします。 もしみなさんが高校生か大学生の時にキャンプがあればどのコースに参加しますか? 吉岡先生「プログラミングコースです。特に笹田さんのコースに行きたい。でもLinuxカーネルコースも良いかな。」 川合先生「その時はOS作るのに成功していなかったので、OS自作入門です。」 笹田先生「セキュリティ面白そうだな。」 村上先生「Linuxカーネル組ですね。当時、Linuxカーネルの変なモジュールを書いたりしていたので機会があったら参加していたのだろうなと思
えーっと,すいません.さくらのレンタルサーバでアクセスログONにしていたことを忘れてディスクが容量不足になって肝心の記事が消えました.(最後にコメント入れてくれた人,消えちゃいました.ごめんなさい) FFFTPの対策パッチです. その前に,FFFTPを入れているだけで危ないと誤解している人がいるようなので ライフハッカーのFFFTPに関する誤報 この文章を普通に読めば、ffftpには「マルウェア感染する」と「ID・パスワード・ホスト先の情報を抜かれる」の2つの危険性がある多くの人が思うことだろう。「および」でつながっているのだから当然だ。つまりffftpを使っているとマルウェアに感染するのだ、と。 しかしこれは間違いであり、それもかなり初歩的な間違い、日本語の言い回しの解釈の間違いなのだ。 あと,何となく怖いからやっぱり乗り換えようと思っている人は,こちらも 10 FTP Clients
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2009年9月24日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、SQLにおいて「暗黙の型変換」を使うべきでない理由として、具体的な「ワナ」をいくつか紹介します。 数値項目に対するSQLインジェクション対策のまとめにて説明したように、RDBの数値型の列に対してSQLインジェクション対策をする方法として、以下の三種類が知られています。 バインド機構を用いる パラメータの数値としての妥当性確認を行う パラメータを文字列リテラルとしてエスケープする このうち、方法3を使うべきでない説明の補足です。具体的には、方法3には、「暗黙の型変換」が発生しますが、それが思わ
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
ハッキングを行おうとする者にとって、エラー時に表示される情報は非常に有益です。 例えばDBが出力するエラーが直接表示されている場合、ハッカーに対して攻撃のための大きな手がかりを与えてしまうことになります。 まず、システムが出力するエラー情報をユーザに見せないようにしましょう。エラー発生時は、エラーが発生したことのみを画面に表示し、別途エラーログなどを出力することが懸命です。 その他、HTML内にSQLをコメントで出力したり、公開フォルダ内にエラーログを保管するといったことも避けるべきです。 テーブル名やカラム名など、SQL文を構成する要素をユーザに知られないように、可能な限り情報の隠蔽を心がけることが重要となります。 ユーザが画面からデータを入力でき、その値がSQL文の構成要素になる場合、SQLインジェクションが引き起こされる確率が高くなると言っていいでしょう。 水際対策として、
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人にとって、Linuxへの移行は喜びに等しい出来事だ。だが、悪夢を経験する人もいる。前者ならば素晴らしいが、もし後者なら最悪だ。しかし、悪夢は必ずしも起きるわけではない。特に、新米のLinux管理者が犯しやすい、よくある間違いをあらかじめ知っていれば、悪夢を避けられる可能性は高いだろう。この記事では、いくつかの典型的なLinuxでのミスを列挙する。 #1:さまざまな手段でアプリケーションをインストールする これは最初は悪いアイデアではないように思える。もしUbuntuを使っていれば、パッケージ管理システムが.debパッケージを使っていることを知っているだろう。しかし、ソースコードでしか見つけられないアプリケーションも多くある。大し
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル
無料でありながら、市販ソフトを超えるセキュリティ性能を持っているのが「AntiVir」だ。セキュリティ界の権威のあるさまざまな調査機関から、世界一検出率の高いウイルス対策ソフトとして認めれた実力は折り紙つき。もう安心をお金で買うという発想は、ウイルス対策においては通用しなくなったのだ! AntiVirは、インストール後に何も設定しない状態でも、ある程度快適に動作する親切設計になっている。しかし、どのウイルス対策ソフトにも共通する不満は残る。デフォルトの状態では、ウイルスが発見されたときに心臓に悪い警告音が鳴ったり、その後の処理操作がわずらわしかったり、何度も手動でスキャンを実行するのが面倒だったり、といった点だ。不満を一気に解決するネトラン流AntiVir設定法を紹介しよう。詳細設定とスケジュール機能をうまく行うことで、初心者ユーザーもヘビーユーザーも満足できる設定が可能となる。動作してい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く