ITproのセキュリティ検定がヤバイ | 水無月ばけらのえび日記
更新: 2008年11月7日1時55分頃 こんなのがあったのですね。「ITpro EXPO検定---全11分野で,あなたのIT理解度はいかに? (itpro.nikkeibp.co.jp)」。 セキュリティ検定の解説もあったので見てみましたが、超難問が3問ほどあったので、独自に解説してみます。 Webブラウザを狙うクロスサイト・スクリプティングは,どのような問題点によって起こるでしょうか。 A) クライアントOSの弱点(ぜい弱性) B) Webブラウザを使うユーザーの油断 C) Webブラウザの弱点(ぜい弱性) D) Webサーバーの弱点(ぜい弱性) 以上、セキュリティ検定の解説【問題2】 より 「WebサーバやWebブラウザにもクロスサイトスクリプティング脆弱性がある」という知識を問う問題ですね。XSSというと普通はWebアプリケーションの問題ですが、WebブラウザやWebサーバに問題が
利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
CAPTCHA解読ソフトの価格表に見るCAPTCHAのレベル差 | 秋元@サイボウズラボ・プログラマー・ブログ
via del.icio.us/popular Coding Horrorブログの記事Has CAPTCHA Been “Broken”?(CAPTCHAは破られたか?)では、CAPTCHAの解読ツールに値段をつけて売っている中国の業者の価格表を紹介していて、これが面白い。 CAPTCHA用の文字列画像を作るときは、文字を画像化したり、色をつけたり、線を引いたり、無関係な点や図形を足したり、湾曲させたり、と、いろいろな加工で「人には読めるけど機械には読めない」ように作るわけだが、この価格表では、単純なCAPTCHAで彼らの販売するツールで読み取れる可能性が高いものほど値段が安くなっているし、彼らのツールでは読み取れてない場合も多いような難しいものについては、ツールの値段も高くなっている。 この価格表で図らずも、いろいろな大手サイト(主に英語と中国語でのサイト)が使っているCAPTCHA図形
58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ
ぼくはまちちゃん! こんにちはこんにちは!!
君は“はまちちゃん事件”を知っているか? mixiのホームページ。mixiユーザーの中には、赤で囲んだ“マイミクシィ最新日記”欄に、“ぼくはまちちゃん!”の文字がいくつも並んだ人がいた 古くからのmixiユーザーであれば、“はまちちゃん事件”を覚えている人も多いだろう。2005年4月、mixiで大勢のユーザーが“ぼくはまちちゃん!”というタイトルを付けた、謎の日記を次々に公開するという怪現象が起こった。 きっかけとなったのは、あるユーザーが投稿した日記。その日記の本文には「こんにちはこんにちは!!」という言葉とともに“あるURL”が貼り付けてあった。 このURLが罠で、不思議に思って押すと、クリックしたユーザーのページに“ぼくはまちちゃん!”というタイトルで同じ文面/URLの日記が勝手にアップされてしまうのだ。 投稿は“ねずみ算”的に増え、一時は混乱状態に…… さらに、勝手にアップロードさ
NortonにTiddlyWikiを削除された件
今朝、Norton AntiVirusをアップデートして、いつものようにブラウザでTiddlyWikiを開いたら… 突如Nortonが「”W32/Feebs”を検知した」とか言って、いきなりTiddlyWikiのHTMLを完全削除。バックアップファイルも。複数あったほかのTiddlyWikiも全部(フォルダを開いたタイミングで?)。 どうも退避したような感じでもなく、復活は無理そう。多大なるダメージ。 Nortonは「解決しました」とか高らかに表示している。 おい、重要なファイルをいきなり削除するって、どっちがウィルスなんだ、おい。 できるだけ早い段階でNortonを捨てようと思う。怖くて入れてられないよ。 Symantec氏ね。(以下同文が100万回続くが、省略) [ 追記 ] TiddlyWiki本家でのアナウンス来た。 Norton Antivirus thinks TiddlyWi
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
高木浩光@自宅の日記 - 本物がいい加減なことをしていると偽物につけ入られる事例2件
■ 本物がいい加減なことをしていると偽物につけ入られる事例2件 スパイウェア対策ソフト売りのFUD PC世界のリフォーム詐欺、「ミスリーディングアプリ」って何だ?, ITmedia, 2007年1月11日 という記事が出ているが、ここで次の映像の冒頭を見てみる。 【動画】 眞鍋かをり「スパイウェアの恐さをもっとわかって」*1, ソフトバンクビジネス+IT, 2006年10月5日 いや正直ですね、ほんとにあの去年の春に、はじめてあのー、まあ、お仕事させていただいてソフトを頂いたんですけど、それまでセキュリティ対策を一切やってなかったので、あのー、はじめてあの、ソフトを入れてチェックしたときはですね、スパイウェアがね、208個出てきたんですよ。(ハハハハ。)ふふ。ちょっとひどい状態、もしかしたら情報出ちゃってたかもしれないなと思うくらいなんですけども、たいした情報入ってないんですけど、ねー、で
高反発マットレスの選び方 | アフィブログに騙されない為の高反発マットレス手記
ウレタン系高反発マットレスでよく言及されるのが密度です。それを頑張って分かりやすく説明してみます。
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
「そのメアドは既にご登録されています」てエラーはサイトの信用なくすわけですけど。 -
会員サイトのエラーチェックで「そのメアドは既にご登録されています」なんて重複エラー出したりしたら、そのサイトは結構信用をなくすというか、つまりその入力されたメアドが「この世に存在すること」とそのメアドが「サイトに登録されていること」を第三者にバラしてしまっているわけですけど。 だからそういうサイトは気をつけなさいなんて殊勝なこた言うつもりはなくって、こういう「語るに落ちる」系の言葉がなんとなく好きです、おれは。100gあたり540kcalって表記の横に内容量350gって書いてあったり、うらない師が第一声「あなた何か悩みがありますね?」って言ってみたり(悩みがあって来たに決まってる)、現金輸送車に現金輸送中って書いてあったりするような? さすがに現金輸送中はないか。
セキュリティアカデメイア
4月の応募数は829件で、当選数は26件です。 当選したものは今月の抽選とは言い切れないので、単純に当選率を計れませんが、あえて計算すると3.1%になります。 3月に続けて高確率を維持しています。3%超ならかなり割がよ ...
接待の席で、お店の無線LANを使ったら個人情報を盗まれた… - ワークスタイル - nikkei BPnet
接待の席で、お店の無線LANを使ったら個人情報を盗まれた… (須藤 慎一=ライター) 夜の飲食店では、接待で訪れたらしいビジネスパーソンが、ノートパソコンをネットにつなぎ、ちょっとした営業プレゼンをしている… 居酒屋やカラオケボックスでは、グループで来たお客さんの1人が、やり残した仕事をパソコンとネットで片付けている… 最近では当たり前の風景である。こうしたお客を呼び込むために、「無線LANを始めました」という飲食店が増えている。 一昔前、ビジネスパーソンが接待の場で使えるネットと言えば、高級料理店の個室にだけ備えられたダイヤルアップ用の電話回線か、携帯電話/PHSのデータ通信機能を使うしかなかった。不便で遅くて高いので、よほどの場合でなければお店でネットは使わなかったものだ。 状況が変わったのは1999年のこと。11Mbpsに高速化した無線LANの規格(IEEE802.11b)が
高木浩光@自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった
■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール,情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 (1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略) (2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,
無線LANノートパソコン、電源をオンにするだけで情報が盗まれる - ワークスタイル - nikkei BPnet
無線LANノートパソコン、電源をオンにするだけで情報が盗まれる (須藤 慎一=ライター) 「Centrino」のステッカーが貼られているノートパソコンの多くが、セキュリティ上の脅威にさらされている。無線LAN用ドライバソフトに不具合があることが判明したのだ。無線LAN経由でウイルスを組み込まれて、パソコン内の情報を盗まれる危険性があるという。米インテルが7月28日、同社製無線LAN用ドライバソフトにこうした不具合があることを公表した(関連記事)。(厳密には、組み込まれるソフトはウイルスとは限らないが、以降ウイルスと表記する) インテルは、CPUのメーカーとしてはもちろん、無線LANデバイスのメーカーとしても著名。多くのノートパソコンメーカーに無線LANデバイスをOEM供給している。インテルは、自社製チップ(CPUや周辺チップ。周辺チップには無線LAN機能を持つチップを含む)を搭載して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ミクシィの相談事例。知らない間に元彼女が自分のマイミクに登録されてるんですが・・・*ホームページを作る人のネタ帳
www.nutsecurity.com
Microsoft Corporation
安全なWebサイト設計の注意点