ヤフーにおけるWebサービスのアクセスコントロール
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、ヤフーにおけるWebサービスのアクセスコントロールについてご紹介します。 ヤフーでは、会社組織やWebサービスの運営面でいろいろなアクセスコントロールを行っています。 アクセスコントロールをする目的には、いくつも理由がありますが、たとえば、以下の理由が挙げられます。 お客様やパートナーの情報を守らなければなりません。 サーバの制御を奪われ、攻撃に利用されてはいけません。 システムの不正な利用を予防しなければなりません。 今回は、ヤフーのWebサービスにフォーカスして説明をします。 インターネットからヤフーへ
「DNSキャッシュポイズニング脆弱性」を風化させるな - @IT
DNSは、インターネットにとってドメイン名とIPアドレスを結び付けるという重要な役割を担っています。近年においては、電話番号からサービスを検索する「ENUM」や迷惑メールに対する技術的対策としての「SPF」といったように、その応用範囲も広がりを見せるようになっています。インターネットが社会的に重要な位置を占めるようになったいま、DNSの安定を図ることは従来にも増してより大きな意味を持つようになりました。 そうした中で、2008年の夏に話題になった「カミンスキーアタック」は、DNSの信頼性を低下させる大きな脅威です。その仕組みについては各所で解説されていますのでここでは割愛しますが(関連記事)、キャッシュDNSサーバに偽の情報を仕込める可能性の高さは容認できるものではありません。 日本レジストリサービス(JPRS)では、カミンスキーアタックの問題と対策がクローズアップされた当初より、.JPの
Postfixによるメールサーバーの構築
■EXPN/VRFYコマンドを拒否する EXPN コマンドによってシステムアカウントの有無を確認することができます。また、VRFYはメールアカウントが存在するかどうかを確認するもので存在していればそのユーザー名を表示します。EXPN、VRFYを使うとアカウントの情報が外部から容易に確認することができてしまうので、このような情報はできるなら表示させないようにします。以下は、VRFY コマンドを使ってkororoというユーザーが存在するかどうか確認した例です。 # telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 mx.kororo.jp ESMTP Postfix EHLO localhost 250-mx.kororo.jp 250-PIPELINING
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
