忘れたパスワードを問い合わせられるシステムなんて作っちゃいけない | 初代編集長ブログ―安田英久
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
ハッシュ値の有効性 ITに疎い裁判官が起こした問題
フォレンジック調査(科学的な調査)などの「原本の真正性」を担保している「ハッシュ値」について、数年前にある裁判でとんでもない判決が出された。外国のことではあるが、筆者にとってはショックであった。今回はその事件について述べたい。 「ハッシュ」とは何か? この事件について述べる前に、「ハッシュ値」について少し解説したい。IT専門家にとっても極めて重要なキーワードなので、ぜひご理解いただきたいものである。Wikipediaでは「ハッシュ」の生成計算で用いる「ハッシュ関数」について、次のように定義している。 これだけではやや難解なので簡単に言うと、例えば、あるファイルを配布した場合に、「そのファイルが最後の1ビットまできちんと送信されたのか」「送信中にデータの誤り発生が起きていなかったのか」「途中の経路で改ざんされていないのか」「ウイルスでも中に仕込まれていないのか」――これは送信側、受信側ともに
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Togetter - 「#カレログ、メディアミックス展開を図っていた! しかし、そのムック本の内容は…!? そして、消えた「裏アプリ」とは? 高木浩光 @ HiromitsuTakagi が迫る!」
【前振り】 カレログとウイルス罪の関係 詳しくは、次のまとめを読んでいただきたいのです… #ウイルス罪 高木浩光氏、成立後の報道を批評する & ウイルス罪クイズ 彼氏追跡アプリ「#カレログ」は #ウイルス罪 になるか!? 高木浩光が解説する! …が、ちょっと読みこなすのはタイヘンかもしれません。それほどの分量があります。 そこで、不正確な話になるのは覚悟の上で、ザックリとした説明を。 《ウイルス罪》 名前がよろしくない。「プログラム悪用罪」とでも呼んだ方が、しっくり来る。プログラムに対する信頼という社会的法益を守るための刑罰。 ウイルス罪は、さらに細かく6つの罪に分けれらている。そのうちの3つを説明。 供用罪: コンピューターの使用者が「なんじゃそりゃ~!? orz」となるような、意に沿わない動きをするプログラムを仕込むこと。 (保存前のデータが消える、パソコンがフリーズする、といった程度
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
UDIDが使えなくなりそうなので、UIIDを使えるようにしました
■2012/11/11追記 iOS 6より[[UIDevice currentDevice] identifierForVendor]というAPIがAppleより提供され、よりプライバシーに配慮した上により安全な方法で自分の開発したアプリケーションを利用するユーザーを個別に認証することが可能になりました。それに伴い拙作のライブラリもidentifierForVendorが利用可能であればこちらを利用するように修正いたしました。今後はこのidentifierForVendor(または広告APIなどを作る場合であれば[[UIDevice sharedManager] advertisingIdentifier])が個体認識の主流になっていくと思われます。identifierForVendorとadvertisingIdentifierの仕様まとめは http://stackoverflow.c
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。 きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。 このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。 IGHASHGPUのダウンロードはこの辺りから Ivan Golubev's blog - Cryptography, code optimizations, GPUs & CPUs and other http://www.g
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
(PHP)XSSとSQLインジェクション対策 | old_3流プログラマのメモ書き
今回 PHP と Smarty でモバイル向けWEBサイト作ってるんですが、やはりセキュリティ対策は講じないといけません。 とりあえず、XSS,SQLインジェクション対策としてサニタイズをしようかと思います。 (まぁモバイル機上ではスクリプト動くことはあんまりないと思うんですが、念のため。。) まず、クロスサイトスクリプティング対策として、スクリプトに使われそうな文字をエスケープするという方法をとってます。 で、(CakePHP)$form->textareaはサニタイジングしてくれない!?でも使った h() 関数を使おうと思ったんですが、そんな関数無いって怒られます。 どうやら、h() って CakePHP オリジナルの関数なんですね。ってきり標準で入ってるのかと思ってました。。。 ということで、h() の実体である htmlspecialchars() でフォーム入力やDBから取得のタ
高木浩光先生@HiromitsuTakagiの「イカタコウイルス器物損壊罪事件東京地裁最終弁論を傍聴してきた」
Hiromitsu Takagi @HiromitsuTakagi イカタコウイルス器物損壊罪事件東京地裁最終弁論を傍聴してきた。弁護人は落合落合洋司弁護士。以下、私の記憶に基づく要約(正確性は不足していると思われるので注意)。 弁護人最終弁論 被告人は無罪である。被告人の不正プログラムはハードディスクの効用を損なわせていない。ハードディスクは… 2011-06-08 13:10:27 Hiromitsu Takagi @HiromitsuTakagi …ハードディスクは随時書き換え可能な記憶媒体であって、任意にファイルを作成したり書き換えたり削除することを機能とするものであるところ、被告人の不正プログラムはハードディスクのその機能、効用を損なわせていない。検察は器物損壊罪について損壊の手段は限定されないとしているが、手段は… 2011-06-08 13:10:45
IDやパスワードは使い回しをやめて、適切な管理を--IPA呼びかけ
情報処理推進機構セキュリティセンター(IPA/ISEC)は6月3日、5月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。4~5月に1億件を超えるIDやパスワードを含むアカウント情報漏えい事件などが発生していることから、IDやパスワードをほかのサービスでも使い回ししていた利用者の情報が含まれている可能性も高く、その場合それらのサービスでも“なりすまし”をされ、被害が拡大する可能性があるとしている。 オンラインサービスでなりすましをされた場合、金銭的な被害も受ける危険があり、これを防ぐためにはパスワードの作成や管理に十分な注意が必要としている。そのためオンラインサービスで利用するIDやパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、特に“使い回し”を避けるなど適切に管理するよう呼びかけている。 利用者が入力したIDやパスワードを盗み出すウイルス(キーロガ
高木浩光@自宅の日記 - 今井猛嘉参考人曰く「バグが重大なら可罰的違法性を超える程度の違法性がある」
■ 今井猛嘉参考人曰く「バグが重大なら可罰的違法性を超える程度の違法性がある」 先日の「バグ放置が提供罪に該当する事態は「ある」と法務省見解」の件、その4日後の5月31日に参考人質疑が行われ、法政大学の今井猛嘉教授が、有識者参考人として、不正指令電磁的記録に関する罪(いわゆる「ウイルス作成罪」)について意見を述べている。この今井参考人は、8年前の平成15年に、法制審議会の「刑事法(ハイテク犯罪関係)部会」で、この法案の原案が作られた際に、部会の幹事を務めていらした方だそうだ。 今井猛嘉参考人の発言内容 衆議院の会議録に全文が掲載されているように、参考人の意見陳述の後、質問に立った大口善徳議員が、前回の法務大臣答弁を踏まえて、今井参考人に対し、以下の質問を投げかけている。 ○大口委員 (略)それでは、まず今井先生に、実体法の立場から、この不正指令電磁的記録作成罪の構成要件の解釈についてお伺い
webアプリケーションの脆弱性とは? - OKWAVE
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
パスワードを擬人化して覚えやすくしてみた。 - 双六工場日誌
最近パスワードが何者かに持ち出されるなど、定期的なパスワードの変更が求められるような機会が多くなっています。 そんな中、今から約1ヶ月前。Twitterタイムライン上で、次のような画期的な提案が発表されました。 先輩「暗証番号やパスワードには嫁の誕生日を使うのがいい」僕「なんでですか?」先輩「3ヶ月ごとに変わって安全だから」僕「先週も最終回ありましたしね」 2011-04-24 13:32:44 via web 僕もこれに感銘し、これまで「hogehoge」だったパスワードを「homuhomu」に変更*1。これですべてが上手くいったと思っていました。 しかし、マイクロソフトさんのパスワードチェッカで確認したところ。 ほむほむ弱い子……orz しかし、同じページにはそんな僕へのアドバイスがありました。 強力なパスワードをつくるために、「覚えられる文章を考えます。」と。 ということで文章化。
Twitterのパスワードを抜き出すフリーソフト「TwitterPasswordDecryptor」
Twitterにログインするパスワードをブラウザに覚えさせているが、肝心のパスワードが一体何だったのかわからず、別のパソコンからログインできないとか、スマートフォンから利用するときに困った、というときに役立つのがこのフリーソフト「TwitterPasswordDecryptor」です。 原理的には非常にシンプルで、ブラウザが保存しているパスワードを解析して抜き出し、表示してくれるというそれだけのものです。 ダウンロードと使い方は以下から。 ※パスワードを抜き出すというソフトウェアの特性上、常駐させて使用しているアンチウイルスソフトやセキュリティソフトによってはスパイウェアやマルウェアとして反応することがありますが、誤検知なので問題ありません。 TwitterPasswordDecryptor: Twitter Password Recovery Software | www.Passwor
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YOMIURI ONLINE(読売新聞)
47NEWS(よんななニュース)
ライブドアブログ
これからの「パスワード」の話をしよう