Ruby スクリプトでデータを暗号化する方法 - WebOS Goodies
本日は、 Ruby の OpenSSL バインドを利用してデータを暗号化する方法をご紹介します。というのも最近、自宅サーバーにある各種データを Web 上のサービスに移動しようと画策していまして、その際にプライベートなデータは暗号化して保存したいのです。ほとんどの Web API は暗号化なしの HTTP で通信しますし、いくらパスワードで保護されているとはいえ、他所の HDD にプレーンな状態で保存するのは不安ですからね。 それ以外でもスクリプトで暗号化の処理をしたい場面はいろいろあると思います。そんなときは、ぜひ参考にしてください。 それでは、まずは暗号化の処理から。 OpenSSL はさまざまな暗号化アルゴリズムをサポートしていますが、ここではリファレンスでも推奨されている AES-256-CBC を使うことにします。ひとつの文字列(バイト列)を暗号化する関数は以下のようになります。
Geekなぺーじ : 斬新なファイアウォール - Palo Alto Networks
Palo Alto Networks社の方々に色々話を聞きに行く機会があったので、ユーザやアプリケーションを細かく識別するファイアウォールについて聞いてきました。 "It's time to fix the firewalls"と言っているぐらいで、結構面白い機器でした。 国単位で同様の技術を利用するとネット検閲になりますが、企業単位だと社員管理というジャンルになるんだなぁと思いました。 Palo Alto Networks社とは Palo Alto Networks社の標語は「It's time to fix the firewalls」です。 登場してから20年近く経過するファイアウォールが実は使いにくくて、全部を再設計して根本的に作り直そうという思想で作られています。 Palo Alto Networksは、イスラエルCheck Point Software Technologies
Geekなぺーじ : 今朝、インターネットが壊れました
今朝01時23時JST頃から1時間弱、インターネットが世界的に壊れていたようです。 ほどなくして収束していったようですが、ISP同士のBGP接続が切れて通信が出来ないという状況が局所的に発生していたようです。 3/11 (invalid or corrupt AS path) anyone else seeing very long AS paths? [janog:08731] long AS Path incident] JANOGメーリングリスト 世界中で影響があったようですが、国内では上流網の一部でBGPのpeerが切れて国際的な通信が不通になっていた瞬間があったようです。 ただし、繋がったり切れたりという箇所もあったようです。 「壊れた」原因 NANOGでの情報によると、以下のようなログがルータに残されていたようです。 255以上という異常に長いAS pathが原因のようです。
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
「最大のライバルはシマンテック」カスペルスキー氏インタビュー
10月にカスペルスキーラボCEOのユージン・カスペルスキー氏が来日したので、最近のセキュリティ業界動向と同社の体制・方針を伺った。また、通訳も兼ねて同席していただいたカスペルスキーラブスジャパンの川合林太郎社長には日本のカスペルスキーラボの活動に関して伺った。 ――5月のインタビューでは、マルウェアの件数が急増しているということでしたが、その後、脅威の傾向に変化は見られているのでしょうか。 カスペルスキー氏:2007年には120万のマルウェアサンプルを収集しましたが、2008年は2000万に達する見込みで、爆発的に増えています。また、攻撃者は従来のような愉快犯から、組織ぐるみで金銭を不正に入手する犯罪に移行しています。攻撃者が盗んだ情報の売買や交換を行うブラックマーケットも、通常のビジネスと同じように成立している状況です。 セキュリティ業界も努力していますが、マルウェアによる被害額も拡大し
Ruby on Railsのセキュリティガイドブックが公開 | OSDN Magazine
ドイツのWebアプリケーションセキュリティコンサル企業らが設立したRuby on Rails Security Projectは11月4日、Ruby on Rails(RoR)のセキュリティガイド「Ruby on Rails Security guide」を公開した。HTMLページまたはeブック形式で無料で閲覧できる。 RoRアプリケーションを安全にするためのガイドブックで、ドイツ在住の開発者で同プロジェクトのオーナーでもあるHeiko Webers氏が作成した。セッション、クロスサイトリファレンス偽造(CSRF)、アカウントハイジャックやCAPTCHAsなどのユーザー管理、SQLインジェクションやクロスサイトスクリプティングなどのインジェクションなどの項目について、説明や具体的なアドバイスを綴っている。 Webers氏は、RoRのようなWebアプリケーションフレームワークは正しく利用すれ
DNSシステム脆弱性問題、発見者がついに詳細情報を公開へ | エンタープライズ | マイコミジャーナル
7月初旬からインターネットとセキュリティ業界を騒がせていたDNS(Domain Name System)に関する脆弱性について7月24日(米国時間)、同脆弱性の発見者であるDan Kaminsky氏がその詳細について解説した。このDNSで発見された脆弱性は、BINDからMicrosoft製品、Cisco IOSに至るまで、インターネット上で稼働しているほとんどのシステムに影響を及ぼすもの。その存在はKaminsky氏によって7月9日に公にされ、ネットワーク管理者らに対して至急ベンダーからリリースされた対策パッチを充てるように通達が出されていた。脆弱性の詳細についてはハッカーらの悪用を避けるために8月初旬に米ネバダ州ラスベガスで開催される「Black Hat」まで公開されない予定だったが、22日になり別の研究者により脆弱性の内容がオープンにされてしまったこともあり、急遽24日での情報公開とな
DNSキャッシュポイズニング、各ネームサーバの対応が話題に
ここ数日ネームサーバ管理者の頭を悩ませているDNSキャッシュポイズニングの脆弱性。脆弱性を突くツールの登場により、具体的な被害が発生する可能性が高まった。 DNSキャッシュポイズニングの脆弱性を突かれると、ホスト名は正しいのにまったく違うサイトへ誘導させることが可能になるため、ファーミングなどの危険性が高まることになる。 そんな中、Webブラウザ上からDNSのランダム性を簡易的にテストできるサイトが注目を集めている。このサイトでは、ソースポートおよびDNSパケットの中に含まれる識別IDのランダム性を検証できる。同じポートや識別IDを使っているネームサーバの場合、「POOR」などが表示される。POORであれば、すでに広く知られるところとなったた攻撃・侵入ツールですぐにでもクラックされてしまうだろう。 例えば記者が利用しているYahooBB!のネームサーバについて同サイト上から検証してみたとこ
内閣官房などが開発したセキュア仮想マシン,オープンソースとして公開
セキュアVMプロジェクトは3月19日,セキュア仮想マシン・モニタ「BitVisor」α版をオープンソース・ソフトウエアとして公開した。セキュアVMプロジェクトは,情報漏洩などのセキュリティ被害削減を目的に内閣官房セキュリティセンター(NISC)などが進めているデスクトップ向けの仮想マシン開発プロジェクト。筑波大学が中心となって開発している。 仮想マシン上で動作するゲストOSとしてはWindows XP,Windows Vista,Linuxに対応している。ハードウエアとしてはIntel VT機能に対応したプロセッサを搭載したパソコンが対象。セキュアVMプロジェクトにはインテルも協力している(関連記事)。 BitVisorでは,ストレージやネットワークの暗号化,ID 管理などの機能を仮想マシンが提供する。ユーザーが直接使用するゲストOSとは独立にセキュリティ機能を実装することで,ゲストOSが
CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
コードをセキュアにする10の作法…の覚え方 - 結城浩のはてな日記
Danさんが、コードをセキュアにする10の作法という翻訳を公開していました。 翻訳には特にツッコミはないのですが…正直、10個も覚えられません! (>_<)ヒー! ので、勝手に再配置。かっこの中がお作法の名前です。 各段階でチェックしよう! 設計時に、 (セキュリティーポリシーを設計に織り込め) コーディング時に、 (セキュアコーディングの標準を採用せよ) (コンパイラーの警告レベルは最高に) テスト時に、 (有効な品質保証の手法を用いよ) もちろん実行時にも。 (入力を検証せよ) (他のシステムに送るデータは消毒(サニタイズ)しておけ) 迷ったときにはシンプルに!(シンプルイズベスト) デフォルトは拒絶、 (デフォルトで拒絶) 権限は最小、 (最小特権の原則を貫く) でもシンプル過ぎてはいけません。 (多重防御を実践せよ) これでちょっと覚えやすくなりました(私は)。内容は以下のページを
パスワードの解読にも『PS3』が活躍 | WIRED VISION
パスワードの解読にも『PS3』が活躍 2007年11月30日 IT コメント: トラックバック (0) Bryan Gardiner Photo:Darren Waters(Flickr) ソニーにとっては朗報だ。最近の『PLAYSTATION 3』(PS3)の値下げがついに功を奏し、ホリデーショッピングシーズンの第1週目に、伸び悩んでいた売上が3倍に上昇したのだ。 だからといって、幸いなことに、研究者たちが同ゲーム機の、創造的な新たな用途(つまりゲームや『Blu-ray Disc』の観賞以外の使い道)を考え出すのをやめたわけではない。 ワイアード・ニュースでは先日、超巨大なブラックホールから放出される、理論上は予測されているが実際にはいまだ観測されていない重力波のシミュレーションで、PS3が活躍していることを伝えた(日本語版記事)。マサチューセッツ大学ダートマス校の助教授、Gaurav
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
itojun氏インタビューYouTubeで伝えたい、IPv6のあんなことこんなこと
萩野純一郎氏が10月29日に亡くなった。本名よりも「itojun」の愛称で知る人の方がはるかに多いこともあり、ここでは敬意を込めて「itojun」氏と呼ばせていただくことにする。 itojun氏は、よく知られているように、KAME projectでIPv6プロトコルスタックの開発および公開に尽力した主要メンバーの1人で、IPv6普及に多大な貢献をした技術者だ。訃報が流れて以後、インターネット上には萩野氏を悼む声が溢れている。 itojun氏は、最近ではYouTubeで「ipv6 100の質問」をシリーズで公開し、技術者だけでなく、広く一般のユーザーにもIPv6について知ってもらおうと試みていた。本誌では、10月中旬にitojun氏にYouTubeのコンテンツについて取材しており、残念ながらitojun氏に見ていただくことはできなくなってしまったが、itojun氏がIPv6普及のために何をし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
そろそろ Amazon.co.jp のパスワードについて一言いっておくか - rna fragments