オレオレ証明書とは コンピュータの人気・最新記事を集めました - はてな
SSL通信を行うサーバは、見知らぬクライアントから暗号化されたデータを受け取るために、データの通信を始める前にクライアントに暗号化のための鍵を送る。 しかし、盗聴者*1が通信に割り込んでこの鍵を入れ替えてしまうとクライアントが暗号化してサーバに送信したデータは盗聴者に丸見えになってしまう。 そこでサーバは「サーバ証明書」という形でクライアントに鍵を送る。サーバ証明書は「信頼できる認証機関」が電子署名を施した鍵のことで、クライアントは誰が誰の鍵に署名したかを検証することで、その鍵が確かに自分が通信しようとしているサーバの鍵であることを確認できる(電子署名の偽造はまず不可能だから)。 「信頼できる認証機関」というのは通常はウェブブラウザが知っている(ブラウザの製造元が信頼している)認証機関のことであり、ウェブブラウザは自分の知らない認証機関が署名したサーバ証明書が送られてくると、信頼性を検証で
Capy CAPTCHAは一瞬で突破できる - 素人がプログラミングを勉強していたブログ
Capy CAPTCHA 早速、実証コードが(CAPY IS A VERY READABLE CAPTCHA)出たようだ。このように一瞬で突破されてしまい意味がない。 さきほどインターネットを見ていたらスパム防止用の「読みづらい画像認証」に、日本人が終止符を打った技術が斬新過ぎる!経由で、Capy - 低コストで導入も簡単な不正ログイン対策という、パズルを使った新しい新しくないCAPTCHAを知った。 コンテストに優勝するなど肯定的な反応が多いので、この記事では、このCAPTCHAのセキュリティ上の問題点について簡単に書いておこうと思う。 まず、Capy - デモにデモが乗っているので、タイプ別に問題点を示す。 パズルタイプの破り方 ジグソーパズルの空白を埋めるタイプのCAPTCHAである。話にならない。 まず、縦横が5pxごとに吸い付くようになっているので、縦横400px*300pxだと
Evernote: 会社の規模にあわせてのセキュリティ対策の考え方 - ワザノバ | wazanova
http://firstround.com/article/Evernotes-CTO-on-Your-Biggest-Security-Worries-From-Three-Employees-to-300 セキュリティは本当に大事だけど、会社が小さいうちにものすごいコストをかけた対策はできないので、段階的にやっていくことになるのが典型的なパターンだと思いますが、「では、具体的にどの段階で何をやるのか?」について、EvernoteのCTOであるDave EngbergがFirst Round CTO Summitで自らの考えを紹介しています。 まず、原則として、「導入しようとしてるセキュリティの対策が、守ろうとしていることのリスクよりも低いときだけ、実行する。」こと。会社が小さいときは失うもののリスクも小さいので、対策もおおげさなものでなくということになるが、Tech Crunchに最初
情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:知っていますか?脆弱性 (ぜいじゃくせい)/2. クロスサイト・スクリプティング
X社のS氏は、ミニコミ誌を発刊している出版社のウェブサイト担当者。 ミニコミ誌の反響を調べるために冊子にアンケートページのアドレスを記載し、ウェブサイトにアンケート回答のウェブアプリケーションを設置しました。 アンケート回答のウェブアプリケーションには、以前無料配布されていたものを使用しました。
本当にあったフロントエンドセキュリティ怖い話
「location.hrefが信用出来ない問題」 http://hoge.com%2F@example.com/へアクセスした場合にlocation.hrefがhttp://hoge.com/@example.com/を返す (勝手にデコードされている) location.href = location.hrefで別のページに飛ぶ iOS 6.0未満、Android4.1未満の標準ブラウザで再現 Masato Kinugawa Security Blog: location.hrefの盲点 「location.hrefが信用出来ない問題」 location.hrefに@使ってなにか入れるのは普通にできる (http://hoge:huga@example.com/のlocation.hrefはhttp://hoge:huga@example.com/) location.hrefを独自解析
【検証】新しく iPhone5s に搭載された指紋認証は「足の指」や「乳首」も登録可能 / 問題なく認識
【検証】新しく iPhone5s に搭載された指紋認証は「足の指」や「乳首」も登録可能 / 問題なく認識 GO羽鳥 2013年9月20日 iPhone5s に搭載された「指紋認証機能」がスゴいと評判になっている。自分の手の指の指紋を識別してロックが解除されるという機能である。他の人の指でタッチしてもロックは解除されないが、自分の指だとロック解除! 驚くべき精度で識別しているのだ。 だがしかし……「手の指」を登録するのは危険なのではないだろうか? 自分が寝ている時に、iPhone5s を手の指にペタリとくっつけられたらジ・エンドだ。秘密を暴きたいと思う何者かの、裏の裏をかかなければ秘密は絶対に保持できない。そこでオススメなのが、「足の指」と「乳首」である。 ・足の指は当然のように登録可能 まず足の指だが、手の指と同じように、いとも簡単に登録可能。指紋認証機能でロックを解除したければ、足の指を
Linuxをはじめよう!:ローカルバッファーオーバーフロー
前回の記事で警告してみましたが 2名の方がそれでも熱心に 「ハッキングについて教えてください」メールを お二人合わせて9通もくださいましたので 試しに"なぜハッキングなるものが成立するか"という内容で 記事を書いてみようと思います。 まず初めに注意から ・今回紹介するプログラムはわざと脆弱性を含めたコードを 自作しますが、同じ脆弱性は現在でも数多く発見されています。 絶対にこの記事で得た知識を悪用することは止めてください。 この記事の知識を悪用して発生したいかなる問題について 当ブログは責任を持ちません。あくまで"知識"として知っている ことは無駄ではないと思います。 ・この記事の内容を理解するにはC言語を扱えること超基本的な アセンブリの知識があること。そしてCPUレジスタとメモリの扱いを 理解している必要があります。 **********************************
時事ドットコム:プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作
プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作 プロの開発者が作成か=高価な専門ツール使用−証拠隠滅の痕跡も、PC遠隔操作 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、このウイルスは主にプログラム開発者らが使用する高価な専門ツールで作成された可能性があることが18日、専門家らへの取材で分かった。 ウイルス作成者のパソコン本体に証拠が残らないようにした痕跡があったことも判明。警視庁捜査1課などは日常的にプログラムを開発する人物がウイルスを作った可能性が高いとみて、特定を急ぐ。 このウイルスを入手、解析した情報セキュリティー会社「ラック」(東京都千代田区)の西本逸郎専務理事によると、ウイルスは「VisualStudio2010」というソフト開発ツールを使って作成されていた。数万円から数十万円以上する専門的なソフトで、素人が購入することは考
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
盗難対策
防炎は必須! 0:撥水性が高い(絶対条件) 撥水は当たり前の事ですが、余り安いモノを使用すると雨漏りが生じます。カバー本来の目的を損なってはいけません。 1:完全に隠れる(絶対条件) 要はどんな車種なのか安易に判らないようにする事です。車輪の下まで隠れるようなワンサイズ大きいモノを選びます。 特に(後述するような)加工する場合は裾に3cm程余裕が必要です。 2:燃えない(絶対条件) 放火犯は簡単に燃えそうなモノを発見した時、窃盗犯は盗めない事への腹立ちまぎれにといった動機です。いくら盗難防止をしてもバイクが燃えてしまったら何もなりません。 3:バタつき(まくり)防止(絶対条件) しっかりと下部を固定出来ないとバタつきが発生し、「完全に隠れる」事が出来ないばかりか、強風時などは振動感知のロックの誤作動につながります。 通常は真中にワンタッチのストラップが1つ在るだけですがこれでは不十分。 こ
セキュリティ男子は信念とともに歩む
最近ソニーのPSN(PlayStation Network)から個人情報が大量に漏洩するなど、セキュリティに注目が集まる事件が起きている。 企業が自分たちのサービスを守るためにできることはなにか。 ということで企業のセキュリティ対策を支援する男子=セキュリティ男子にご登場いただく。 辻 伸弘さんはセキュリティエンジニアとして現場で活躍し、@ITで『セキュリティ対策の「ある視点」』の連載を持つ専門家だ。 通称Web男子のインタビュー先について 今回は @stonecold316helさんからセキュリティ業界でWeb男子に当たる人、ということでご推薦をいただいた。 そう!Web男子シリーズは自薦他薦も受け付けております! @ntsuji あ、セキュリティ男子で推薦しておいたので、取材依頼が来るかもw> Web男子はお洒落部屋で夢を見る http://htn.to/bW1B2Bless th
コメント欄 - 「頂いた意見に関しては、ゴミ以下のご意見のほか、真っ当なご意見も少なからずあります」 - 武雄市長物語 : 高木浩光先生、間違ってます。
今日は「個人情報」について書きます。関心の無い方は長いのでパスしてくださって結構です。 前にも書きましたが、個人情報とは、個人情報の保護に関する法律(平成15年5月30日法律第57号)の第1条にその目的があり、「この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」となっています。 その中で個人情報とはというと、その定義は、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
text.ssig33.com - Shibuya.XSS に行ってきた。
Shibuya.XSS に行ってきた。 徳丸さんの隣に居座って膨大な量の酒を飲んだ。 発表内容については、書けないことが多いし、書けないことが多いなか纏めている人がいるので、そういうのを適宜参照してほしく思う。 小保田さんのエントリあたりがよくまとまっている。 以下考えたこと。 1. 「素人」の話 割と真剣に伝えたいこと。セキュリティの話突き詰めてくと素人はアプリ書くな!!ってなりがちなんだけど、良くない傾向。素人でもアプリを自由に書けるようにライブラリや認証システム作る人が全力で、バグがあってもセキュリティホールにならないように設計しないといけない #shibuyaxss— mala (@bulkneets) April 4, 2012 マラのこの意見は実のところ結構片手落ちだと僕は思っている。この意見は「素人はアプリケーションを作ってよいが、ライブラリは作ってはいけない」という意見にす
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
娘からiPad貸してと言われた - 引用β
娘が女友達のグループで遊園地行くというので 待ち時間で遊びたいらしく、iPad貸してと言われた。 写真撮ったら、コピーして消せるよね? とか言うので、うん。と答えた。 朝早くから出かけた娘。 昼過ぎに起きた私は何気なくimacを立ち上げた。 次々に流れてくるフォトストリーム画像。 待ち合わせのツーショット~始まり。 男!?何!? 遊園地入口でべったり寄り添う画像。 え?え? 待ち時間、食事、何だかベタベタ画像が 次々にフォトストリームが更新されていく。 昼間からフォトストリームをずっと眺めていた。 汗、汗。 夕方、遊園地の出入り口。 帰りがけチューのツーショット。 大汗、大汗。 もう疲れた。 夕方~夜。待てども、娘は帰ってこない。 やきもきした私は、find iPhoneを使った。 見つけ出した位置は、渋谷道玄坂。 もう精神的に崩壊。 夜中に帰ってき
セキュリティとは - ぼくはまちちゃん!
こういうことだと思う。 ※上のマンガ うそつきパラドクス 8 (ジェッツコミックス) サトウナンキ+きづきあきら (注意) ネトラレものです 詳細を見る [この日記のブックマークコメントを見る/書く ]
Google Chromeエクステンションのセキュリティ確保
Nov 15, 2011 さて、ずいぶんと日が経ちましたがVichromeにセキュリティの脆弱性があるとのご報告を頂きました。 http://twitter.com/#!/teramako/status/127357023242289154 つまり、コンテンツに要素を追加すると、コンテンツ側のスクリプトがその要素に対してアクセスできてしまうわけです。 Chrome Extensionとセキュリティというのは、以前から議論されている話ではありますが、エクステンションの開発者を含めて一般的に浸透されているとは言い難い状況なので簡単にまとめておきます。 まずはChrome Extensionはどのような仕組みなのかから始めましょう。 Chrome Extensionってどうやってできてるの? 一般的なChrome Extensionは主に3つのコンポーネントから構成されていて、それはConten
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証がかかっています
徳丸本に載っていないWebアプリケーションセキュリティ
