FirefoxでオレオレEVSSL証明書 - Qiita
はじめに 背景と目的 元ネタは、@ozuma5119氏のスライド個人でEV SSL証明書が欲しい話でした。スライド36枚目から、オレオレEVSSL証明書1を作ってブラウザ(Firefox)に認識させようという試みが説明されているのですが、結局成功していませんでした。 そこでこの話に触発されて、 オレオレEVSSL証明書をブラウザ(Firefox)に認識させることはできるのか 件のスライドの説明よりもっと楽な方法はないか 件のスライドでうまく行かなかった理由は何か を調べた話になります。 前提 SSL/TLSの本当に基礎については、拙記事SSL/TLSの見落とされがちな「認証」という基本機能をご覧ください。その中でEVについても軽く触れています。 また、今回の話の全体像をつかむためには、冒頭で紹介したスライドを一読されることをお勧めします。 注意 本記事の趣旨はあくまで、ブラウザがEVだと認
続:SQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem's blog
前回のエントリSQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem(徳丸浩)の日記に対応して、mi1kmanさんのブクマ経由で、訂正が出ていることを知った。 訂正内容 1ページ目を下記のように変更いたしました(2個所)。 バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 ↓ SQL文のひな型とバインド値は個別にデータベースに送られ、構文解析されるので、バインド値に悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 http://www.impressit.co.jp/inside/?p=791 なんとなく私のエントリの断片が散りばめられているのを別にしても、『悪意あるSQL文…の実行を阻止することができる』というあたりに、サニタイズ的発想が依
第4回: Unicode 文字列の比較 - 葉っぱ日記
すっかり間があいてしまいました。ごめんなさい。今回のテーマは Unicode 文字列の比較です。 文字列の比較には、プログラミング言語によっては s1 = s2 のように簡単な演算子で比較できる場合もありますし、strcmp や StrComp のような関数を呼び出す必要があるかも知れません。そんななかでも今回取り上げるのは、Windows API の CompareString です。実際には、Unicode 同士の比較ですので、CompareStringW ですね。 さて、CompareString 関数には第2引数 dwCmpFlags で比較の条件をいろいろ変更することができます。一般的によく使われそうなのは、大文字小文字を無視して文字列を比較するためのフラグ NORM_IGNORECASE でしょうか。 実際に、この NORM_IGNORECASE フラグを指定して a-zA-Z
SSH Keys Generated on Debian/Ubuntu Compromised
CompanySSH Keys Generated on Debian/Ubuntu CompromisedA security warning posted on the Debian security list today warns that SSH keys generated on Debian based systems (including Ubuntu) have a highly predictable random number generator. This corroborates… A security warning posted on the Debian security list today warns that SSH keys generated on Debian based systems (including Ubuntu) have a hig
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回復に社員一同、全力で取り組む所存です。今回の個人情報流出の対象となる、2007年1月1日~2008年3月22日までに新規会員登録をいただいた122,884名全てのお客様に、以下を弊社の補償とお詫びとさせて頂きたく提示し、お客様のご理解を頂きたく存じます。 ※ 実際の個人情報流出対象のお客様は、延べ人数で97,500名分となりますが、今回の不正アクセスは特殊な方法でデータを抽出されている為、実際に流出した個人の特定ができません。従いまして対象期間内に新規会員登録を頂いた全てのお客様を対象とさせていただきます。 1. この度の個人情報流出に関連して、万が一、お客様がカ
Don'tStopMusic - Rails のセキュリティガイド , RubyGems が Ruby 1.9 でテストが通ったようです
_ [Rails] Rails のセキュリティガイド QuarkRuby: Ruby on Rails Security Guide では、Rails でアプリを開発する際にセキュリティ面で気を付けなければいけないことを簡潔にまとめています。 いま社内向けに Rails のセキュリティガイドラインをまとめているので参考になります。上記のページに、OS コマンドインジェクションとセッション固定化、HTTP ヘッダインジェクションを追加すれば一般的な脆弱性は大体カバーできますね。 なお、Rails のセキュリティについて興味のある方は、前田さんのWebアプリケーションセキュリティフォーラム発表資料は必読です。 追記 自分の備忘録として脆弱性に関してまとまった情報があるサイトや資料を挙げておきます。 QuarkRuby: Ruby on Rails Security Guide : 簡潔な一覧
XSS Vulnerability Scanning | Acunetix
Acunetix: an XSS Scanner and Much More Despite being around for 20 years, Cross-site Scripting (XSS) remains the most common web application vulnerability in the world according to many sources, for example, the latest Trustwave report and the HackerOne bug bounty program. With a well-designed Cross-site Scripting attack, an attacker can steal a user session, personal data, modify how an applicati
書籍 ウェブアプリケーションセキュリティ サポートページ
1章 ウェブアプリケーションセキュリティの基礎 ・HTMLによる制限は回避可能である ・裏側で何が行われているのか ・パケットスニッファ ・プロキシツール ・ウェブブラウザの存在そのものが偽装できる ・リクエストの書き換えでHTMLの制限を回避する ・JavaScriptの制限を回避する ・hiddenフィールドの内容を書き換える ・フォームの値の書き換えとGET/POST ・Cookieを書き換える ・リファラやUser-Agentを書き換える ・リクエストに含まれる情報は信用できない 2章 データ処理の原則と指針 ・データ処理の原則 - 原則1 - 原則2 - 原則3 - 原則4 ・hiddenフィールドとCookieに関する指針 - 指針1 - 指針2 - セキュリティと前提 ・「入力時に型チ
ha.ckers.org web application security lab - Archive » XSS Book Preview
Well, we are finally done with the XSS book (XSS Attacks - Cross Site Scripting Attacks Exploits and Defense). It’s off at the presses, and should be on the shelves in a few week’s time. We were authorized to throw up a sample chapter and the table of contents from the book for anyone who would like to read it. You can download a zipped up version of Chapter 5 and the table of contents. Since it w
Winnyネットワークはやっぱり真っ黒,NTTコミュニケーションズの小山氏に聞く:ITpro
ボットネット研究で知られるNTTコミュニケーションズの小山覚氏。小山氏の新しい研究対象は「Winnyネットワークの実態」だ。小山氏は「悪意のある人物がワームを撒き散らしているWinnyネットワークは『真っ黒』としか言いようがない」と指摘する。小山氏にWinnyネットワークに関する最新事情を聞いた(聞き手は中田 敦=ITpro)。 小山さんは最近,Winnyネットワークの調査を始められているそうですね。 これは,4月25日の「RSA Conference 2007」で話そうと思っていた内容なのですが,私が出るセッションは,ラックの新井悠さん,JPCERTの伊藤友里恵さん,マイクロソフトの奥天陽司さんというセキュリティ界の論客が揃ったパネル・ディスカッションなので(モデレータは日経パソコン副編集長の勝村幸博),私だけが長い時間発表するのは無理そうです(笑)。そこで,今回のインタビューで全部お話
何のための SSL なのか…… - Tociyuki::Diary
(4月9日追記)このエントリは、書いた私がわかっていないことが露呈する内容になっています。 正しくは、 ActiveX と Javascript がオフになることを前提として、SSL 接続されるべきページで錠アイコンが閉じており、検証済みホスト名がそのページの所有者であることを確認する(下の図ではURL入力フィールドとステータスバーの錠アイコンを含む赤で囲んだ部分)。 その際にブラウザが異常を警告していないことに注意を払う。 ユーザができることはこれだけです。 これ以外の情報はユーザにとってページとブラウザを信頼できるかどうかの手がかりになりません。 ログイン URL はサービス提供者が変更することがあります。 錠前表示に加えてサーバ検証状況ダイアログが表示されるからといって、ブラウザが SSL 接続の表示を正しくおこなっているかをユーザが確かめることはできません。 オーソリティの表示も含
Kazuho@Cybozu Labs: Re: SessionSafe: Implementing XSS Immune Session Handling
« キーワード抽出のススメ (Lingua::JA::Summarize がアップデート) | メイン | Japanize 拡張機能バージョン 0.8 リリースのおしらせ » 2007年03月28日 Re: SessionSafe: Implementing XSS Immune Session Handling SessionSafe というウェブアプリケーションの実装方式が提案されていることを知りました (via. T.Teradaの日記) 。要点をまとめると、3種類の手法を組み合わせることで、XSS 脆弱性があったとしても、同一サービスの他のページの詐取を防止しようという試み。 1) セッションID管理専用のサブドメイン 2) XSS から窃取・改ざんできない URL 3) ページごとにサブドメインを切り替える で、提案者が「議論するんじゃなくて攻撃してみてよ :)」とおっしゃって
フィッシングにご注意 - 池田信夫 blog
間抜けなことに、フィッシングに引っかかってパスワードを盗まれてしまった。amazon@teamservice.comというアドレスからThis is your final warning about the safety of your Amazon account. If you do not update your billing informations your access on Amazon features will be restricted and the user deleted. This might be due to either following reasons:というメールが来て、ちょっと変だなと思いつつ、そのURLをクリックすると、図のようにAmazon.comそっくりの画面が出てくる。ここでアドレスとパスワードを入れると、クレジットカードの番号を入力する
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ)
当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の
仙台経済新聞を2秒でクラックした - omoti の日記
なんか読売だかのサイトで 「仙台経済新聞がスタートする」 って書いてあって、それで 「正式に開始するまでサイトは見れないようになっている」 って書いてあって、そこに書いてあったURLを入れてみたら BASIC認証がかかっていて、IDとパスワードを入れないと 見れないようになっていた。 で、その責任者みたいなやつのインタビューが載っていて 「仙台の良い面をアピールしたい」 とかってインタビュー記事が載っていて、 今回、利用できるデーターはほんとにわずか それだけだったけど、たぶんこいつの頭の中は 「仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!」 って感じになってるんだろうなーと思って って入れてみたら、一回目の試行で いきなりヒットで、認証通って 本来非公開の
フィードリーダーの脆弱性まわりのこと
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱性に関連してSage++のこと そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。 開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Gmail」にセッション管理機能を導入、ログイン履歴も確認可能
HTTPOnly cookie support in Firefox...
2007/08/07/Interoperability-and-XSS-Mitigation