世界の国別 IPv4 アドレス割り当てリスト
ところがこのリスト、RIR statistics exchange format にも書いてあるように、「開始 IP アドレスから何個」という表現になっているので、そのままではサブネット マスクや CIDR の表現としては使えないレコードがあります。例えば、 192.168.0.0 から 768 個 768 個を表すサブネット マスクはない。 したがって、192.168.0.0/255.255.254.0 と 192.168.2.0/255.255.255.0 の二つに分けなければならない。 192.168.3.0 から 512 個 512 個なのでサブネット マスクは 255.255.254.0 だが、ホスト アドレス部が 0 になっていないため、単純に 192.168.3.0/255.255.254.0 とすることができない。 したがって、192.168.3.0/255.255.255
ssh ブルートフォースアタックについて。 - trial and error
なんとなく書いてみます。 Linux などのシステムを管理する際、ssh でアクセスすることが非常に多いかと思います。 ssh は便利ではありますが、乗っ取られたら終わり、という側面も持っています。 secure shell というぐらいあって、高度なセキュリティによって通信内容などは保護されています。 さらに、ユーザー名とパスワードでという従来よくあった方法ではなく、鍵を利用した暗号化通信を行うこともできるので、非常に頑丈であり乗っ取るのは難しいです。 しかし、これはあくまでも、理想というか、きちんとセキュリティを理解して設定・管理した場合の話です。 鍵方式でなくても ssh は利用できますし、というか初期設定では、ユーザー名とパスワードで認証する設定になっている場合がほとんどではないかと。 んで、そんな甘いサーバーに力ずくで侵入しようとする輩もいます。 適当なユーザー名とパスワードで、
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
MOONGIFT: Web2.0時代のセキュリティ査定ツール「Ratproxy」:オープンソースを毎日紹介
ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。 レポート だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。 今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。 Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。 実行中 検査する項
高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、「NTT DATA CORPORATION」という社会的信頼の高い企業による運営であるという表示によって、利用者に本物サイトであることの確認手段を提供したことにあるのだから、これらの金融機関は、利用者が「NTT DATA CORPORATION」という名称さえ見てくれればいいことを前提としている。 しかし、もし、図3のように、ドブログのようなサイトでまで緑色で「NTT DATA CORPORATION」と表示されるような世の中になってしまったら、どうなのだろうか。 まず、少なくとも、EV証明書導入サイトがやってはいけないことがある。 もし、ドブログのユーザコンテンツ(つまりブログ)のページが、https:// でも表示できるようになっていたらどうか。どこの馬の骨ともわからな
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
第8回 クロスサイトスクリプティング対策の落とし穴 | gihyo.jp
今回は熟練したWebアプリ開発者なら常識のクロスサイトスクリプティング対策の落とし穴を紹介します。 JavaScriptを排除しているつもりで排除に失敗?! 最近はSanitize(サニタイズ)という言葉の代わりにValidation(検証)という言葉をよく聞くようになったと思います。Sanitizeの意味を辞書で調べると「汚れている物をきれいにすること」とされています。この意味の通り汚れた変数をきれいにして使えば安全に利用できるとする考え方に基づくのがサニタイズ手法です。典型的な例は、「テキストを出力する前に"<"と">"を取り除く」方法があります。 例1 "<"と">"をereg_replaceで取り除く $safe_text = ereg_replace($_GET['text'], '[<>]', ''); この$safe_textを <a href="/script.php?t
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Home
