OAuth 2.0 の仕組みと認証方法について説明します。OAuth 1.0 の認証フローとそれらの問題点から、OAuth 2.0 の認証フロー、認可コード、アクセストークン、リフレッシュトークンまで網羅します。
OAuth 2.0 の仕組みと認証方法
OAuth 2.0 の仕組みと認証方法について説明します。OAuth 1.0 の認証フローとそれらの問題点から、OAuth 2.0 の認証フロー、認可コード、アクセストークン、リフレッシュトークンまで網羅します。
生体認証やICカード認証の弱点を認識せよ
数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。 今回は、磁気カードに代わるセキュリティ強化策として実用化されている、生体認証(指紋や静脈など)とICカード認証の問題点を解説します。 本当に究極の認証か? 2000年に開催されたシドニー五輪直後の出来事です。当時、わたしは銀行員として磁気カードに代わる認証方法について、さまざまな情報の入手、実験室での試行、評価を行っていました。それ以前にも指紋や光彩、手のひら、骨格、臭い、静脈、声紋、顔といろいろな方法に出会いましたが、生体では恐らく究極の認証と思われるDNAの塩基配列を使う「DNAインク」に興味を持っていました。シドニーオリンピックでは、このDNAインクが商用化されたといい、関係者に詳しい話を聞くことができました。 五輪
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
パスワードの入力さえ不要なWebブラウザ用公開鍵認証技術·TrustAuth MOONGIFT
TrustAuthはWebサイトにおける公開鍵を使った認証システムです。 Webサイトを使う際の認証と言えばログインIDとパスワードを使ったものと相場が決まっています。問題があるシステムとは分かっていつつも未だにいい解決策が出てきていません。そこで新しい認証システムとしてTrustAuthを紹介します。 Firefoxアドオンをインストールします。 アドオンの設定です。特に変更することはありません。 こちらはデモサイトです。 ツールバーにビールのアイコンがあります。なぜかデフォルトでは表示されずツールバーのカスタマイズで追加しました。 Unlockを選んで最初にマスターパスワードを決めます。 後はパスワード無用です。demoとユーザIDを指定すればログインできます。 無事ログインできました! TrustAuthでは公開鍵を使って認証を行います。サーバサイド、クライアントサイドの双方で用意し
フォーム自動入力(x-autocompletetype)の実験
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
個人利用なら SSL 証明書が無料で利用できるらしい: ある SE のつぶやき
「体系的に学ぶ 安全なWebアプリケーションの作り方」を読んでいたら、とっても気になる記述が。 サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ドメイン認証証明書には無料のものがあります。イスラエルのStartComという企業は、無料のサーバー証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラーなく使用できます。IE6でもアップデートが当たっていれば使用できます。 日本の携帯電話には対応していないようです。しかし、今までラピッド SSL が年間2,100円で最強だと思っていたけど無料のものがあるとは。気になったので、ちょっと調べてみました。 以下の画面が StartCom のサイトです。画面の赤枠のリンクをクリックすると次の画面が表示されます。 そうすると、SSL 証明書の製品紹介
そらいさんのサイトが改竄されたそうなので解析してみた
そらいさんのサービスが改ざん被害にあったとのことで、攻撃コードが載っていたので解析して見ました。 ということで、上記のコードを解析しましたが、難読化の仕組みは単純なのですが、コードを追いかけるのに中々疲れましたww 問題のコード問題のコードはこれです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn1XULdmbqZVUzElNmNTVGxEeNt1ZzkFcmJyJuUTNyZGJuciLxk2cwRCLiICKuVHdlJHJn4SNykmckRiLnsTKn4iInIiL
HTMLソースを隠す方法
株式会社プランセスの全面協力の元、HTML暗号化ソフト「SHTML」を2005年7月11日にリリースしました。 Javascriptの知識が全くない方でも利用可能なように設計されています。最短ステップの場合、暗号化したいソースを貼り付けて、「暗号化する」ボタンをクリックするだけです!! 右クリック禁止+ソースの暗号化+印刷禁止+テキスト選択禁止・・・が今までにないほど簡単に!! (サンプル): オリジナル: 株式会社プランセスのメインページ 暗号化したページ: こちら * 画像保護機能を体感してもらうために、敢えて右クリック禁止機能を解除したページ (右クリックして画像を保存しようとしても無色のダミー画像しか保存できません。) HTMLソースを他人に見られたくない。HTMLソースについて、「他人(人間)には意味不明もしくは無意味な文字列でありながらブラウザにはしっかりと解釈してもらいたい」
アンチウイルスソフトに検知されずあらゆる行動を記録する「FinSpy」
40種類以上のアンチウイルスソフトの検知をバイパスし、パソコンのウェブカメラ経由で映像はすべて録画、さらにパソコンのマイクからの音声もすべて録音、キーボードからの文字入力もすべて記録してしまうという恐るべきソフトがこの「FINSPY」です。 これは政府・警察・軍隊・情報機関向けにいろいろな人々を監視・盗聴するシステムを販売している企業を検索できるWikileaksの新プロジェクト「The Spy Files」にて列挙されている企業の一つである「Gamma」社の製品で、実際のプレゼンテーション用のPDFファイルとムービーが公開されています。 The Spy Files - Remote Monitoring & Infection Solutions: FINSPY http://wikileaks.org/spyfiles/docs/gamma/289_remote-monitoring-
ランダムパスワード生成CGI
国税庁の電子申告(e-Tax)用の暗証番号を作る為に作成したCGIです。 4~50桁のランダムな文字列を生成することができます。(デフォルトは8桁) 自由に使っていただいて構いませんが、結果については自己責任でお願いします。
「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem's blog
このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。 SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。 この状況で、セキュリティのことをよく知らない人がSQLインジェクション対策しようとした場合の行動を予測してみると、かなりの割合の人がGoogle等で検索して対処方法を調べると思われます。そこで、以下のURLでSQLインジェクション対策方法を検索した結果の上位のエントリを検証してみようと思い立ちました。 http://www.google.co.jp/search?q=SQLインジェクション対策 どこまで調べるかですが、以前NH
SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ | バシャログ。
東京ラーメンショー2011 いきてーーー!みなさんこんにちは、nakamura です。 今日はプログラマだったりサーバ管理者だったり(もしくはその両方だったり)する方にお勧めしたいサイトとツールをいくつかご紹介します。細かい脆弱性のチェック等どうしても手間が掛かるものが多いですが、今回ご紹介するツールをうまく使うとその辺りだいぶ効率よくできると思いますよ! WEB アプリケーション関連 XSS Me XSS Me :: Add-ons for Firefox XSS のテストをある程度自動化してくれる Firefox のアドオンです。残念ながら Firefox3.0.* 系の頃に開発が止まってしまっているようですが、僕の環境では install.rdf の書き換えで問題なく動作しています。(Windows7 64bit + Firefox7.0.1) SQL Inject Me SQL I
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
FFFTP開発終了で大騒ぎしている人たちへ - OR6 blog
最初に断っておきますが、FFFTP自体は良いアプリケーションソフトウェアだったと思います。UIがWindowsのエクスプローラに倣っていると同時にエクスプローラとはひと目で見分けがつくデザインだったので、使いやすかったはずです。 ぼくもインターネットをはじめたごく最初の頃に使っていました。ほどなくしてWindows自体を使わなくなったので、それ以来触ることはなくなったわけなのですが。 FFFTPは何故開発終了したのか開発者は「開発を継続するためのモチベーションが維持できなくなった」と述べているそうですが、まあ当たり前だと思います。 FFFTPが動作するWindowsとFFFTPが扱うプロトコルであるFTP自体がオワコンだからです。前者については幾ばくかの反論の余地もあるでしょうが、後者については異論は認めません。 「終わった」プロトコルのためのソフトウェアを作り続けるというのは、プログラマ
How BrowserID differs from OpenID - Identity at Mozilla
We launched Mozilla Labs’ online identity experiment, BrowserID, only 24 hours ago, and the feedback has been incredibly useful already. At Mozilla, we believe in empowering individuals to shape their online experience. Our work on a decentralized identity solution for the Web matches that mission well. Also, because we believe that transparent community-based processes promote participation, acco
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.ipa.go.jp/files/000013804.pdf
IPA セキュア・プログラミング講座:C / C++言語編
徳丸本に載っていないWebアプリケーションセキュリティ
「カレログ」はマルウェア? カスペルスキー氏に見解聞く 
http://www.machu.jp/posts/20110722/p01/
