ssig33.com - よく分からない人のためのセキュリティ
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
ヤフー株式会社様に「秘密の質問と回答」に関して要望します
拝啓、貴社ますますご清栄のこととお慶び申し上げます。日頃は格別のご高配を賜り、あつくお礼申し上げます。さて、さっそくですが、表題の件についてお願いがあり、ご連絡差し上げました。 私は東京都品川区在住の貴社サービスの一ユーザーです。Yahoo! IDの登録が2001年3月、Yahoo!プレミアムは2003年 2月からですので、十年来のユーザーと言うことになり、現在はヤフオクやYahoo! Boxを利用しております。どうぞ、お見知りおきのほど、よろしくお願いいたします。 さて、ご連絡差し上げたのは、表題に述べたように「秘密の質問と回答」に関する要望です。と言いますのは、報道などで「秘密の質問と回答」が漏洩したことを知ったからです。 ヤフーは23日、今月16日に不正アクセスで流出した「ヤフージャパン」のID2200万件のうち、約149万件についてはパスワードと、パスワード変更のために使う「秘密の
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
セキュリティがヤバいと噂のスターバックスのフリー無線LANはやっぱり危険な香り : 市況かぶ全力2階建
登録完了スタバWi-Fi twitpic.com/b0bzfn— mimicyaさん (@mimicafelatte) 10月 2, 2012 http://twitpic.com/b0bzfn スタバで時間つぶし!リッチ!(笑)WiFi入ってるしゆーことなしですね(*^o^*)あと30分後に出発やな~ twitter.com/wtcoo/status/2…— わたぬんちのあずささん (@wtcoo) 10月 2, 2012 RT @neohawk: 暗号化してないWiFiスポットを利用するのは危険ということは頭に置いておいて欲しい。わーい、スタバ無料WiFi便利とか言ってる場合じゃないかもよ。— ありんこ8さん (@arinko88888888) 9月 12, 2012 スタバのフリーなwi-fi使ってるんだけど、昨日辺りからアタックが目につくようになった。常識だけど、セキュリティ対策を
[改訂版] iPhoneアプリのSSL接続をパケットキャプチャする方法 | [ bROOM.LOG ! ]
はじめまして。この度このページの情報を参考にiPhoneでパケットキャプチャをやらせていただいたにゃんこと申します。 掲載されていた情報通りに進めると、何点か不明点があったので、役立つか?当たり前なのか?分かりませんが補足させていただきます。 ①まず使用するburpsuiteですが、バージョンによってインターフェイスが異なっています。 Ver1.1なら記載されている通り『[proxy]タブ – [option] → 「loopback only」がチェックされているのでこれを外します。』であっています。 Ver1.5(2013/5/12)では[proxy]タブ – [option] には、「loopback only」という項目がありません。 この場合は、みうさんのコメントにある通り(以下転記)になります。 >>Burp suiteでの設定ですが、Proxy→Optionsと辿り、Prox
![[改訂版] iPhoneアプリのSSL接続をパケットキャプチャする方法 | [ bROOM.LOG ! ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/aade9e21ce05ad2ed7895ccdfb10acc358475d21/height=288;version=1;width=512/https%3A%2F%2Fblog.rocaz.net%2Fuploads%2F2011%2F02%2FiPhoneApp_Capture2.png)
総務省|報道資料|「スマートフォン プライバシー イニシアティブ -利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション-」の公表
総務省は、平成21年4月から「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」(座長:堀部 政男 一橋大学名誉教授)を開催しています。今般、本研究会において「スマートフォン プライバシー イニシアティブ ―利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション―」が取りまとめられましたので公表します。 <p> 総務省では、平成24年1月に、「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」の下に「スマートフォンを経由した利用者情報の取扱いに関するWG」を設置し、スマートフォンにおける利用者情報が安心・安全な形で活用され、利便性の高いサービス提供につながるよう、諸外国の動向を含む現状と課題を把握し、利用者情報の取扱いに関して必要な対応等について検討を行ってきました。</p> <p> 本研究会における検討の結果、提言(案)を取りまとめ、当該提言(案)に対
レインボーテーブルを使ったハッシュの復号とSalt - maru source
会社の勉強会で発表したネタです。 レインボーテーブルという方法を使ってパスワードハッシュを復号してみようと言うお話と、パスワードハッシュを作るときにSaltを使おうというお話です。 ちなみに僕が実装したレインボーテーブルはhttp://h13i32maru.jp/misc/rt/rt.tar.gzにあるので興味があるかたはご自由にお使いください。 レインボーテーブルを使ったハッシュの復号とSaltView more presentations from h13i32maru. 今までスライドはImpressで作っていたんですが、今回はkeynoteを買ってみました。 そしてら凄く使いやすくて感動しましたよ!Impressでは凄く時間がかかっていたんですが、keynoteならさくさくでした!
図書館貸出情報の扱い、ご安心ください! | 樋渡啓祐物語(2005年5月ー2015年2月)
今日は長いです。でも、大事なことなので、読んで頂ければとっても嬉しいです。 お題は、今、一部ネット上で話題になっている「貸出履歴の取り扱い」についてです。 (はじめに) 5月4日(金)のCCCの増田社長と私の記者会見で出した「武雄市立図書館○蔦屋書店」の新図書館構想なんですが、多くの市内外の皆さん、プレスは好意的の一方で、ネットで一部火がついたように批判。批判はいいんだけど、荒唐無稽というか、直接情報であるユースト(午前・午後)なんか見ていないかのような的外れな批判や、都合の良いフレーズを抜き出しただけの指摘はいつものこと。これって武雄市民病院の民間委譲の際でも良くありました(ただ、あの当時は今のようなSNSはなかったけどね。)。 それにしてもね、つぶそう、つぶそうという意見が波動のように来ています。現に僕のTwitterはいつものように炎上。もうTwitterは議論する場じゃ無いよね。2
自分用:ひろみちゅ先生×武雄市長
Shuji Sado (佐渡 秀治) コロナで背骨を骨折ニキ @shujisado 高木無双が起きるのは、IT専門媒体に力がないからだよね。どこも記者と外注をどんどん減らして、ニュースよりも金が取れるリードジェネレーション型へ向かっている。単価が安く、PVも稼げる翻訳記事で媒体が埋まるのはそういうことだが、広告ニーズがその流れだから業界としては止めようがない。 2012-04-11 15:32:06 ゆんゆん探偵 @yunyundetective 「公の施設は民間で出来ない事をやるからこそ存在意義があるのだ」っていうね。 RT @tsuneduka: 同感 抄RT @ken500d: TSUTAYAは今、皆が借りたい物を置くのが使命だけど、図書館は未来に誰かが探しに来る物を置くのが使命なんだよ。 2012-05-08 22:03:10
コメント欄 - 「頂いた意見に関しては、ゴミ以下のご意見のほか、真っ当なご意見も少なからずあります」 - 武雄市長物語 : 高木浩光先生、間違ってます。
今日は「個人情報」について書きます。関心の無い方は長いのでパスしてくださって結構です。 前にも書きましたが、個人情報とは、個人情報の保護に関する法律(平成15年5月30日法律第57号)の第1条にその目的があり、「この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」となっています。 その中で個人情報とはというと、その定義は、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
Webクローリング&スクレイピングの最前線 公開用
HTTP通信の詳細内容を一覧表示する「HTTPNetworkSniffer」NOT SUPPORTED