Loading...
id:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。 本書は、ウノウ株式会社の下岡秀幸氏、中村悟氏の共著なので、現役バリバリのPHP開発者が執筆しているということ、下記のようにセキュリティのことも少しは記述されているらしいという期待から購入したものだ。 目次から抜粋引用 07-07 Webアプリケーションのセキュリティ [セキュリティ] 08-04 データベースのセキュリティ [SQLインジェクション] 09-13 セキュリティ対策 [セキュリティ] 本書をざっと眺めた印象は、「ゆるいなぁ」というものであるが、その「ゆるさ」のゆえんはおいおい報告するとして、その経過で致命的な脆弱性を発見したので報告する。 問題の報告 それは、本書P280に登場する「SQLインジェクション対策用の関数(dbescape)」
スパムちゃんぷるー をご利用いただき誠にありがとうございます。 2008年10月のサービス開始以来、皆様にご利用いただきましたスパムちゃんぷるーですが 2013年5月31日を持ちましてサービスを終了させていただくことになりました。 ご利用いだいている皆さまにはご迷惑をおかけすることとなり、深くお詫び申し上げますとともに 長年ご愛顧いただきましたことにスタッフ一同、心より御礼申し上げます。 スパムちゃんぷるーをコメント投稿システムに組み込んでいただいている場合は サービス終了以降、投稿ができなくなってしまう可能性がございますのでサービス終了 までの期間でご対応いただけますよう宜しくお願い申し上げます。 スパムちゃんぷるー を長年ご愛顧いただきまして、誠にありがとうございました。 今後ともNHN Japanのサービスをよろしくお願いいたします。
フィッシング対策協議会では、フィッシング詐欺被害の対象となり得るサービス事業者および消費者に対する「フィッシング対策ガイドライン」を策定しましたので、公表いたします。このガイドラインは次の内容を記載しています。 1.サービス事業者におけるフィッシング詐欺対策 ・フィッシング詐欺被害を抑制するための対策 ・フィッシング詐欺被害の発生を迅速に検知するための対策 ・フィッシング詐欺被害が発生してしまった際の対策 2.消費者におけるフィッシング詐欺対策 ・フィッシング詐欺への備え ・フィッシング詐欺に遭ってしまった時 サービス事業者の方々におかれましては自社サービスにおけるフィッシング対策の促進・充実を図っていただき、消費者の方々におかれましてはフィッシング詐欺に対する正確な知識を持つことによる的確な対応に役立てていただければ幸いです。 プレスリリース「フィッシング対策ガイドライン」
MIAでUは、「青少年ネット規制法」の法案検討の時期から、青少年のネット利用の実態について、調査・研究を重ねて参りました。そしてその中で、安易な規制よりも、青少年に対するネットリテラシー教育がまず先にあるべきとして、「MIAU版インターネットの教科書プロジェクト」を発足、活動して参りました。 今回はその成果の第一弾として、我々が作成しましたインターネットリテラシ読本「”ネット”と上手く付き合うために」Ver1.0を公開いたします。まだ序盤のみではありますが、教育現場の皆様から多くのフィードバックをいただきながら、今後も引き続き制作を行なってまいります。 なおこの読本は、クリエイティブコモンズ「表示・継承」ライセンスによる公開となります。利用される皆様は、複製・配布など商用非商用に限らず、無償でご利用いただけます。ライセンスの詳細は、読本の奥付をご覧ください。 “ネット”と上手く付き合うため
McAfee Avert Labs Blog 「“The-Cat-is-Out-of-The-Bag” DNS Bug」より July 23,2008 Posted by Ravi Balupari ダン・カミンスキー氏は先ごろDNSサーバーに存在するセキュリティ・ホールを発見したが,多くの情報を伏せていた。そしてIT業界に広く働きかけた結果,複数のDNS関連ベンダーが修正パッチを公開してきた。ところが,同氏はセキュリティ・ホールの技術的詳細を公開していないにもかかわらず,関連情報が誤って米マタサノ・セキュリティのブログから大量に漏れてしまったらしい(関連記事:DNSサーバーに見つかったぜい弱性の詳細が公開,すぐにパッチの適用を)。 編集部注:このDNSサーバーのぜい弱性について,カミンスキー氏は8月に開催されたBlack Hatで情報を公開した(関連記事:カミンスキー氏,DNS脆弱性につ
2008年7月から世界的に話題になっているDNSキャッシュ・ポイズニングを効率的に実現する手法について,発見者であるダン・カミンスキー氏が,Black Hat 2008の席上でプレゼンテーションを行いました(8月6日)。このキャッシュ・ポイズニングのぜい弱性については,いろいろ動きがありましたので,ぜい弱性に関連するイベントを追いかけておきましょう。 ■キャッシュ・ポイズニングのぜい弱性の対応経過 まずは,ぜい弱性に代表的なイベント一覧です。他の関連イベントについては, Status Tracking Note TRTA08-190B:複数の DNS 実装にキャッシュ・ポイズニングのぜい弱性 を参照してください。 2008年7月8日 BINDを含む複数のDNSサーバーが,ダン・カミンスキー氏が指摘するキャッシュ・ポイズニングを効率的に実現する手法に対してぜい弱であったことから,対策版がリリ
DNSの危機に対応を! 〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜(8/28 脅威についての説明追記) 2008年7月、セキュリティ技術者 Dan Kaminsky 氏が考案したDNSに対する新たな攻撃手法が明らかになり、8月6日、Kaminsky氏による発表がセキュリティ関連の国際会議 Black Hatで行われました。 これはDNSキャッシュサーバに偽の情報を注入(毒入れ/Poisoning)するものです。DNSは原理的にキャッシュへの毒入れ脆弱性を持ち合わせており、特に脆弱な実装のDNSサーバソフトウェアでは過去に何度か対応が図られてきました。今回あきらかになった手法は従来手法よりはるかに効率的に、状況によってはほぼ確実に毒入れができるというもので、大変危険なものです。 すでに攻撃コードも公開されており、被害も発生していることが報告されています。 まず、以下の
総務省が6月に発表したアンケート調査結果によると、子どもにインターネットを利用させる際にフィルタリングが必要だと思うと回答した人が94.3%に上った。しかしながら、自宅で子どもがPCでインターネットを利用している家庭のうち、フィルタリングソフト/サービスを利用しているのは30.2%(就学前~高校生までの平均)だった。 利用しない理由としては、「親子でコミュニケーションをとり、利用のルールやマナーを身につけさせればよいと思うから」(19.7%)、「出会い系サイトを利用することはない等、子どもを信用しているから」(18.2%)、「子どもがまだ小さいため、必要性を感じないから」(17.5%)が上位に挙がっており、これに「フィルタリングソフトの存在を知らなかったから」(13.9%)、「利用の仕方がわからないから」(10.9%)が続く。 ■URL 総務省「平成19年度電気通信サービスモニターに対する
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について (www.verisign.co.jp)」。 Flash版のセキュアドシールが表示できないそうで。 ……しかしこれ、誰が困るのですかね。いつも思うのですが、そもそもこの「セキュアドシール」って何の意味があるのでしょうか。 ベリサインのサイトを見ると「毎日世界で約1.5億回表示」なんて書いてあるようです。シールを表示する際のログはきっちり記録されていて、それがベリサインのマーケティングに役立っているのでしょう。というわけでベリサイン側にはメリットがあるのでしょうが、これを貼る側にどういうメリットがあるのか分かりません。 ベリサインのサイトには以下のよ
●WAFってなに? WAFとは、Web Application Firewallの略称である。 Webアプリの普及と高機能化に伴って、それらをターゲットとする攻撃は年々増加の傾向にあるが、従来型のネットワークファイアウォールでは、サービスを行っていないポートへの外部からの接続をブロックするといった、低いレベルでの対策しか行えない。 Webアプリの脆弱性を狙った攻撃を正確に検知し防御するためには、アプリケーション層における通信内容を理解し、その妥当性を判断できる仕組みが必要なのである。 また、クレジットカード情報取り扱いのセキュリティ標準であるPCIDSSの要件6.6にも、WAFの設置もしくはアプリケーションのコードレビューの実施が明記されており、2008年7月から必須要件となるため、今後のWebアプリのセキュリティを語る上で欠かせない存在になりつつある。 ●最近の攻撃傾
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
IEBlog : IE8 Security Part IV: The XSS Filter について、記事を書いた David Ross さんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当然ながら、これは私が私的に訳したものであり、Microsoftによる公式な翻訳/見解ではありません。 (訳注追加) 「reflected / Type-1 XSS」というのは、攻撃コードが被害者からのリクエスト自身に含まれるタイプのXSSで、サーバ側のアプリケーションでユーザからのリクエストに含まれる攻撃コードを「反射的」に返すような種類のXSSです。典型的には「"><script>...」のような語を検索したときに <input type="text" value=""><script>..."
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月16日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、「ホワイトリスト」という用語の定義については、以下の記事の「第二種ホワイトリスト」に相当するとお考えください。この記事の投稿当時、ホワイトリストという用語の定義の揺れについては意識しておりませんでした。 僕が「ホワイトリスト」を採用しなかった訳 補足終わり 近々WAF(Web Application Firewall)の話題を取り上げたいと思っている(→WAFの話題はこちら)。WAFの説明には決まってホワイトリストとブラックリストという用語が出てくる。しかし、WAFの宣伝やブログなどのエントリを読んでいると、ホワイ
職場で受信メールを斜め読みしていたJohn Doeは,「Mail delivery failed:returning message to sender」(配送失敗:送信者にメールを返送)というサブジェクトのメールに気付いた。 Johnは「配送失敗だって?」と疑問に思った。「Janeに出したメールがブロックされたのかな?」。そこで問題のメールを開いたところ,オンライン医薬品販売のスパム・メッセージが書かれていた。そのようなメールは送っていないので最初混乱したものの,すぐにこれが配信不能レポート(NDR:Non Delivery Receipt)スパムであると理解した(関連記事:NDRスパムの配信に加担していませんか?)。 シマンテックの調査で,2008年5月にNDRスパム攻撃の増えたことが分かった。NDRスパムは目新しい手口ではないが,急増したので詳しく調べることにした。「どこから送られて
最新のゲートウェイ対策をインターネット上から提供するサービスをトレンドマイクロが始める。企業は専用のサーバやソフトウェアを導入せずに、スパムメールやフィッシングサイトの対策ができるようになる。 トレンドマイクロは7月14日、中堅規模の企業向け電子メールセキュリティサービス「Trend Micro InterScan Messaging Hosted Security」(IMHS)を8月27日に発売すると発表した。SaaS(サービスとしてのソフトウェア)形式で提供する。 IMHSは、トレンドマイクロのゲートウェイ技術をSaaSで提供するサービス。トレンドマイクロがインターネット上でスパムを送ったサーバのIPアドレスを調べ、そこから送られてくる電子メールを受信させないようにしたり、フィッシングサイトへの接続を防いだりする。 ウイルスやスパイウェアといった悪意のあるプログラムに対応する最新のソフ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く