よく使われる危険なパスワードトップ500
年明けのUSBメモリ接続はシフトキー押下で、JPCERT/CC
具体的な製品として、米国版では「Intego VirusBarrier X5」「Symantec Norton Anti-Virus 11 for Macintosh」「McAfee VirusScan for Mac」の3製品を紹介した。
Appleがウイルス対策ソフトのすすめ。今まで「無視」だった方が驚きだが。私はIntegoを入れています。
既成のハードウェアとソフトウェアを利用することによって、規模が大きく資金も豊富な当局機関を出し抜く傾向
異なるフレームワーク同士の“ハーモナイゼーション”(調和)だ。
「われわれは電話のときと同じ歴史を繰り返そうとしている」
非対称から双方向性
あまり意識されていなかったことかもしれないが、インターネットの安心・安全は、主に英語圏での活発な議論によって淘汰の洗礼を受けた技術を採用することで実現されている。日本だけで独自に始まった携帯ID送信は、英語圏の批判にさらされておらず、他に類を見ない独自のプライバシーリスクを生み出してしまった。
日本独自仕様はセキュリティ・リスクが高くなる、という議論。行政を動かす理屈として、これは強い。
お客様のパスワードをハッシュ化(暗号化)保存していないことを自らさらけ出している。「えっ!?どこがいけないの?」と思っているんじゃないだろうか。おかしなことをやっているという意識がまったく無いと思われてもしょうがない。タカシマヤは純情無垢のお坊ちゃまだ。日経BPの場合は、「セキュリティ上、上記パスワードは変更されることをおすすめします。」と書き添えてユーザーに責任転嫁すればOKと思っているところが逆にひどい。
平文パスワードをメールで送ってもらえるサービスは危ない、というお話。
原理から正しく学ぶということは、HTMLなりJavaScriptの文法をしっかり学ぶことでもある。またエスケープを正しく行わないと、セキュリティ上の問題以外に、表示がおかしくなるなどの不具合が生じる。これはプログラマとして必須の知識なのだ。
セキュリティ以前に「正しい結果を返す」事が大前提。逆に正しさを理解すればセキュリティの基本的な概念も理解できる。
大垣さんのブログには、「出力時に過剰とも言えるエスケープ処理」とあるが、多くの文字をエスケープすれは安全になるというものでもない。HTML上の場所に応じた適切なエスケープが必要だ
出力先のフォーマットに即していないとエスケープそのものの意味がない。
インジェクション系脆弱性の根本原因はリテラル(定数)が枠をはみ出し、命令として解釈されることだ。
ここが理解できないと XSS を理解するのは難しい。
「入力間違い」と「不正な入力」をどう区別をつけるのだろう。
入力内容から入力者の意識までは読み取れない。
決して行ってはならないのはWAFで保護しているから大丈夫、とシステム上で対策できる問題を放置する事です。Webセキュリティ対策はあくまでもWebシステムが"主"でありWAFは"従"です。
きっとこういう当たり前の考えを持たないで WAF を導入するところがでてくるんだろうな。 それで「専用のセキュリティウェアを導入済みでしたが」みたいな言い訳をするんだろう。
たしかに対策は簡単だよ。すでに見つかった脆弱性に対する対策はね。 それこそ、なんでこんなことすらしてなかったの?って思うくらいに。 だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。 それは「ただのエスケープ処理程度が」にしてもなんだ。 全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね。 簡単だよーなんて言ってる人たちはすごいね。
XSS脆弱性をひとくくりにしている辺り釣り。
必要あれば、被害届けを出したいという意思を伝えました
穴のあるウェブアプリを作って被害届けを出すと言う事は…壮大な釣りか。
予告inに残されている犯人のIP、および関連する情報を提供する事
犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性が存在しました
だがDNSのサーバ同士の通信においては、ポートが初期設定、あるいは半固定の状態で運用されているケースがほとんどで、ハッカーがこの性質を利用してDNSサーバを攻撃することが可能となる。Kaminsky氏は「(ポート番号の数である)6万5,000分の1の確率で攻撃が可能だ。こうした問題はほとんどのDNSサーバに存在しており、バグというよりは設計上の問題だ」と指摘する。
そういう問題だったのか。やっと理解した。
DNS(Domain Name System)に関する脆弱性について7月24日(米国時間)、同脆弱性の発見者であるDan Kaminsky氏がその詳細について解説した。
例のDan Kaminsky氏がDNS脆弱性の詳細を7/24に公開。
ここ数日ネームサーバ管理者の頭を悩ませているDNSキャッシュポイズニングの脆弱性。脆弱性を突くツールの登場により、具体的な被害が発生する可能性が高まった。
例のDan Kaminsky氏が報告したDNS脆弱性の話題。ツールが出てきてしまった。
Quantum Random Bit Generator Serviceが提供するCAPTCHA。数式の正解が認証数字となる。「アナタが人間であることを証明するために、下記の問題を解きなさい」と。注釈には「この問題が解けない場合には、ページをリロードしてください。(おそらく)もう少し簡単な問題が表示されます」と……
ここのCAPTCHAは最強だった。。。
ITセキュリティ専門家のクリス・カスペルスキー(Kris Kaspersky)氏が7月14日、米国Intel製プロセッサを搭載しているコンピュータは、プラットフォームにかかわらず、チップの欠陥を突いたリモート攻撃を受ける可能性があると発表した。 「Hack In The Box Security Conference」のサイトに掲載されているKaspersky氏のプレゼン内容の要約 ITコンサルタントであるKaspersky氏は、『Hacker Disassembling Uncovered(ハッカーの手口を暴く)』『Data Recovery: Tips and Solutions(データリカバリのヒントと手法)』などのセキュリティ関連本の著者でもある(なお、同氏はロシアのセキュリティ・ベンダーKaspersky Labとは無関係)。
PCや携帯電話を使ったインターネットバンキングで被害に遭った件数が2007年度は231件と、前年度と比べ倍増していることが分かった。
ネットバンキングの被害件数は増加傾向にある一方で、偽造キャッシュカードや盗難キャッシュカード、盗難通帳による被害件数は横ばいまたは減少傾向にある。
この修正パッチはハッカーによる悪用を防ぐためリバースエンジニアリングができないようになっている。企業に更新の時間を与えるため、技術的な詳細は1か月間は明らかにされない。
DNSの脆弱性に対してWindowsのパッチが出た、というお話。1カ月後の詳細解明を待つ。脆弱性を発見したのは、コンピューターセキュリティー会社「IOActive」の研究員ダン・カミンスキー(Dan Kaminsky)氏。http://www.doxpara.com/
インターネットに重大な脆弱性が見つかる
インターネッツに?!大変だ。
何が安全なのか全くわからない。どこが高度なセキュリティ?長期間使うサイフのIDが抜かれたらどうすんだ?
パスワードないんだ…。まあ、お財布にカギがついてないようなもんか(違
「メールを自宅や外出先から見たい」という目的で外部のWebメール・サービスへメールをフォワードする人は多いと思うが,それが個人レベルのBCM(事業継続マネジメント)として機能した。
一概には言えないがBCMとして外部にメールをforwardするのはいかがなものか。『外部』のサービスである以上は常に情報漏洩の可能性を考慮する必要があるし、WEBをインターフェースとすると考慮しなければいけない可能性は増える一方だし。手軽である事を理由にすると結局PCの自宅への持ち帰り→移動中に紛失と同じ事態になると思われる。
あるある