もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
最強のパスワード管理ツール5選! | ライフハッカー・ジャパン
ネット中心に発展していく世界において、増え続けるのがパスワードと呼ばれる文字の羅列ですが、簡単すぎてもセキュリティが危ういし、難しすぎると忘れてしまうし、となかなか良いバランスを見つけ出すのが大変です。今回は、パスワード管理のお手伝いをしてくれる便利なパスワード管理ツールを5つほどご紹介! 全てのアカウントなどに同じパスワードを使うと確かに楽ですが、これは危険極まりない行為です。逆に、全てのアカウントのパスワードを違うもの、かつ強力なものにしてしまうと、常人の頭脳ではとても覚えきれる数ではないかと。 パスワード管理ツールとは「少ないパスワードの使い回し」と「自分でも覚えられない複雑すぎるパスワード」の絶妙なバランスを保つことを目的としてこの世に誕生したツールなのです。下記の5つのツールは強力なパスワードを設定し、かつ、それらを管理する、という正義の味方のようなツールです。 ■KeePass
twitterで不用意な発言をして大炎上してどうしようもなくなって...
鍵かけてスクリーンネーム変えて逃げたつもりの子の新スクリーンネームを知るには。 まぁ、気づく人はすぐ気づくはずだけど。 消えたスクリーンネームでググる。よほど時間が経過してなければ大体そいつのtwitterはヒットするので、キャッシュを開く。アドレスバーにRSSアイコンが出ていれば大勝利。そのアイコンをクリックしてhoge's tweetを講読する。まぁprotectなのでnot authorizedとかなるけど気にしない。知りたいのはURLだけだから。RSSのURLは、「http://twitter.com/statuses/user_timeline/00000000.rss」みたいなものなのだが、その「00000000」がそいつのtwitterにおけるID。これはスクリーンネームを変えても不変。IDがわかったところで「http://twitter.com/users/show/000
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
Gmailを乗っ取られてないかどうか確認する方法
これを読んで「恐ろしいなー」と思ったので。 Gmailをのっとられた友達からメール来てだまされそうになった件・・・ – IDEA*IDEA ~ 百式管理人のライフハックブログ Google アカウントを乗っ取られて 勝手にメールを送信されたりパスワードを変えられたりすると思うと 恐ろしくて仕方がないんだけど、 たとえそこまでされないとしても 誰かが勝手にログインして、送受信されたメールを見ている可能性もある。 こちらの方が被害は少ないかもしれないけど 実害が出ないだけに気づきにくいという危険もあるんじゃないだろうか。 そこで、他人が勝手に自分の Gmail を見てないかどうか 手っ取り早く確認する方法を。 ご存知だったらごめんなさいよ。 方法っていうほどエラそうなもんじゃないんだけど Gmail の画面下部にはこういう表示があって 前回このアカウントがどこからアクセスされたかわかる。 これ
Microsoftの無料セキュリティソフト、ダウンロード提供開始
米Microsoftは9月29日、無料セキュリティソフト「Microsoft Security Essentials」のダウンロード提供を開始した。 このソフトはMicrosoftの企業向けセキュリティ製品「Forefront」と同じ技術を使って、ウイルス、スパイウェアなどのマルウェアからユーザーを保護するという。 同ソフトはリアルタイム保護技術で自動的にセキュリティ脅威を遮断し、PCを定期的にスキャンする。個別のフォルダを自動でスキャンすることも可能。PCで不審なプログラムが見つかった場合は警告ウィンドウが現れる。警告ウィンドウの「Clean computer」ボタンをクリックすると、駆除が実行される。 Security EssentialsはWindows XP SP2またはSP3、Windows Vista、Windows 7(Windows XPモード含む)に対応。米国や日本など1
PHPで暗号化の際に便利に使えるCrypterクラスが公開:phpspot開発日誌
Creating a Crypter Class with PHP - Nettuts PHPで暗号化の際に便利に使えるCrypterクラスがNettutsにて公開されました。 Mcrypt関数の単なるラッパーに過ぎませんが、コンストラクタで、アルゴリズムを指定し、Encrypt($data), Decrypt($data) という直感的なメソッドによって暗号化が行えるようです。 $crypter = new Crypter("Any password", MCRYPT_RIJNDAEL_256); $encrypted = $crypter->Encrypt("himitu"); // 暗号化 echo $crypter->Decrypt($encrypted); // 複合化 注) バイナリはbase64化されます という感じで、シンプルに、後から見てもコードが分かりやすく暗号化が行
ファイル名は「左から右に読む」とは限らない?!
RLO偽装をちょっとしたTipsで対策 では、ここからは、RLOによるファイルの拡張子偽装の対策についてTipsをご紹介したいと思います。 今回の対策の発想は至って単純で、ファイル名にUnicodeの制御文字RLOが含まれている場合には、ファイルの実行を禁止してしまおうということです。この対策を実施することで、ファイルの拡張子偽装を見破れなかったとしても、システム上でファイルの実行を防ぐことができるため、結果としてウイルスの感染を間逃れることができます。 では、実際にどのような設定をWindowsに対して実施すればよいのかという次のような手順となります。 1. スタートメニューより、「ファイル名を指定して実行」を選んでください。
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
間違え電話に相手の本名とGmail アドレスがついてきた - レジデント初期研修用資料
携帯電話のことは何一つ分からないので、とりあえずおきたことだけ。 スマートフォンを買った ごく最近、HT-03A という、Docomo のGoogle 携帯電話を買た。 それまで6年間ぐらい使っていたのは、カメラもi モードも使えない機種だったから、 ここ数年間の携帯電話がどんな具合になっているのか、自分はまず、そのへんを全く理解できていない。 間違え電話が来た 昨日の夕方頃、知らない携帯電話からの着信があった。もたもたしてたらベル2回ぐらいで切れて、 結局その電話は取れなかった。 普段仕事に使っている番号は、全部携帯電話の「連絡先」に入れてあるから、 その電話番号はとりあえず、「知らない人」からだとは分かった。 HT-03A の着信履歴にはその電話番号が残っていて、そこにはなぜか、 発信者の名前がカタカナ表記で書かれていて、その人のGmail アドレスが一緒に表示されていた。 最初はSp
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
USBメモリをさした瞬間にウイルス検知&駆除が可能で常駐させても軽いセキュリティソフト「ESET Smart Security V4.0」を試してみた
今まではフリーのアンチウイルスソフト&ファイアウォールで十分だろうと高をくくっていたのですが、「ものは試しだからこのESET Smart Security V4.0を使ってみては?」ということで、実際に統合セキュリティソフト「ESET Smart Security V4.0」を使ってみました。 実際に使ってみて決定的な差だなと感じたのはその使いやすさ。いくら機能的に優秀でも使いにくければ意味がないわけですが、この「ESET Smart Security V4.0」は非常に使いやすく、さすがに操作もこなれている感じがします。また、反応速度の素早さも秀逸で、試しにウイルス感染済みのUSBメモリをざくっと「ESET Smart Security V4.0」が常駐しているパソコンにさしてみたわけですが、速攻で検知して駆除するという徹底ぶり。USBメモリの持ち主は信頼できてもそのUSBメモリも同じよ
「GENOウィルス」がヤバい7つの理由。これはもっと騒がれるべき。 - ヌルめのつぶやき
万博·体育(ManBetX)官方网站-首页 出错啦!该资源不存在,可能的原因为 (错误代码:404)
GENOウイルスチェッカー
GENOウイルス対策情報まとめ、GENOウイルスチェッカー更新情報 2009 05/17 といってもウイルス側の挙動がかなり高度なので、誤判定はあります 万が一の事があってはいけないのでかなり判定厳しめに設定してあります。 ご理解の程よろしくお願いします 2009 05/17 いそいで作ったので判定機能以外はぐちゃぐちゃ 2009 05/17 開設 ウソクソ情報 ■javascriptを切ってても感染する(5/17現在) 今の時点ではウソだが将来的に、pdf or swfをjavascript経由せずに直接読み込ませるタイプのものが出てきたらアウト とにかく↓のアドビ関連のアップデートを怠らないこと。 GENOウイルス対策 ■adobe readerを9.1.1にアップデートする(9.1:9.1,0では駄目) http://ardownload.adobe.com
無料でコンピュータの安全を守る、セキュリティソフト10選
就職や転職、異動などで、新しい環境に変わる人も多い4月。心機一転、PC環境の整理とともに、PCの安全性も見直してみよう。ここでは、不景気でもお財布に優しい、無料のセキュリティソフトを紹介する。 こちらは日本語化がされており、愛用しているファンも多いアンチウイルスソフト「AVG Anti-Virus Free Edition 8.5」。個人向けの製品で、ウイルスやスパイウェアの対策ができる。1家に1台のコンピュータでのみ使用可能。企業や学校などでは利用できない。 就職や転職、異動などで、新しい環境に変わる人も多い4月。心機一転、PC環境の整理とともに、PCの安全性も見直してみよう。ここでは、不景気でもお財布に優しい、無料のセキュリティソフトを紹介する。 こちらは日本語化がされており、愛用しているファンも多いアンチウイルスソフト「AVG Anti-Virus Free Edition 8.5」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://neta.ywcafe.net/001019.html