[B! security] lockcoleのブックマーク

using checkinstall

using checkinstall Compiling checkinstall for Fedora 13 is tricky, and described in this tip. Also on that page are the edits required to get it to work under RHEL6 (Red Hat Enterprise Linux 6). It seems that checkinstall adds the directories /selinux and /selinux/context to the package it builds. This leads to an error like "error: unpacking of archive failed on file /selinux/context" when instal

lockcole 2008/12/22

checkinstallで生成したRPMをインストールしようとするとSE Linuxに怒られる件の解消方法。RPMを作るときに"--exclude=/selinux,/selinux/context"を渡すか，あるいはRPMインストール時に"--excludepath /selinux"を渡す。

リンク

ZoneMinder - Home

A full-featured, open source, state-of-the-art video surveillance software system. Monitor your home, office, or wherever you want. Using off the shelf hardware with any camera, you can design a system as large or as small as you need. Download Now

lockcole 2008/11/19

Linuxの監視カメラ（CCTV）管理ソリューション。source,Fedora RPM, LiveCDがある。TVチューナカードからの映像やUSBカメラやネットワークカメラを使うことができる。要求スペックは高め。

リンク

「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者 ― ＠IT

2007/07/19 URIをIDとして扱うオープンな認証プロトコル、「OpenID」が北米で本格的な普及期にさしかかろうとしている。2005年の夏にブログソフトウェアを提供する米シックス・アパートから提案されたOpenIDは、2007年に入ってから関係各社・団体からのサポート表明が相次いだ。 Mozillaファウンデーションは1月、次期バージョンのFirefox 3でOpenIDサポートの意向を表明。2月にはマイクロソフトやRSAセキュリティもサポートを表明、DiggやNetvibesといったWeb2.0サービスサイトでもサポートの表明があった。同じく2月、AOLは6000万人のユーザーすべてにOpenIDのアカウント（URI）を発行。日本でもlivedoorが5月にOpenIDサポートを開始している。現在、OpenIDユーザーは全世界で約1億2000万人を数え、OpenIDを受け付ける

lockcole 2007/08/04

普及した理由は民主的であったから，インターネット向きでLightweightだったから，などのほか，OpenIDになることで得られるセキュリティ上のメリットと，使い分けの方法。

リンク

Atom や RDF を利用したXSS - 葉っぱ日記

Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、﹁abcd﹂という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap

lockcole 2007/08/04

IE が認識できない Content-Type: 全般に当てはまる脆弱性の問題。UTF-7で記述した文字列を解釈してスクリプトを実行してしまう。

リンク

第4回自己流認証 | WIRED VISION

第4回自己流認証 2007年7月20日 IT コメント：トラックバック (1) 自分を証明するために鍵やカードやハンコなどが広く使われていますが、計算機の上ではパスワードがよく利用されています。指紋や光彩を利用する生体認証も最近注目されていますが、特殊な装置が必要になりますし、偽造も可能な場合が多いので、どこでも使える強力な認証手法としてパスワードの地位に揺るぎは無いようです。パスワードを用いる認証方式は長年利用されているので、運用に関する多くの知見が存在します。システムを作成するときの注意点はよくわかっていますし、破られにくいパスワードの選び方や、他人に見られることなくパスワードを送る方法などについても深く研究されており、正しい使い方をする限り安全な認証手法であることは証明されています。歴史が長いため、パスワードを破るためのノウハウも蓄積されており、普通に思いつく固有名詞を単純に

lockcole 2007/07/27

認証方式の将来展望。「システムの都合のために人間が難しいことを覚えなければならないという状況は天動説的並に間違っています」という力強いお言葉。エピソード記憶を使ったシステム，やり方を選択できる将来。

security

リンク

[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki'sblogアップロード画像を利用した攻撃についてです。攻撃の概要画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。この脆弱性は、アップロード可能なフ

lockcole 2007/07/23

画像ファイルにここまでの危険性(と対策の必要性)があるとは驚いた。気をつけておこう。

リンク

AES encryption | Drupal.org

lockcole 2007/07/16

DrupalのユーザアカウントをAESで置換するモジュール。デフォルトのMD5ハッシュに対する利点は，パスワードを復元できることと，鍵長256が選べることかな。権限のあるユーザはパスワード一覧を見られる点も特徴的。

リンク

LAPISLAZULI HILL#Hatena - AtomPPやRESTなどのAPIにおける認証のメモ

WSSE認証 Basic認証 Digest認証ひとまずはBasic認証で充分な気がする．WSSEは消えつつあるのかな?以下引用メモ # 2007年06月30日 miyagawa miyagawa Basicのほうがいいよ VoxのフィードはmiyagawaさんがBasic認証対応にしたみたいです。確かにWSSE認証に対応したフィードリーダーなんて聞いたこと無い。でもたとえば記事のPOST/PUT/DELETEとかはBasic認証でやちゃっていいのかな？今作ってるサービスでも認証方法が決まらなくてscaffold_resourceで生成したAPIもPOST/PUT/DELETEはコメントアウトしてるんですよね。 Basic認証より正確にいうと、Atom 自体に独自の認証スキームは定義せずに、既存のHTTPで利用できるBasic/Digestを使おうということだと認識しています。WSS

lockcole 2007/07/15

基本，BASIC認証でOKということらしい。WSSEもとんと見かけなくなったと思ったら，そういう流れになっていたのか。

リンク

ネットエージェントの「あんまり効果なさそうな」漏洩データ拡散抑制サービス（1件300万円）を考える | P2Pとかその辺のお話

先日もネットエージェントのWinnyによる情報漏えいを利用したお金儲けの話をしたけれども、今回もそのお話。これまで紹介した「Winny特別調査員」「Winny特別調査員2」はいずれも、情報漏えいを回避するために予防的なサービスであった（まぁ、その質の悪さはこれまで述べてきたとおりだけれども）。一方で、ネットエージェントは、情報漏えいの事後的な被害の抑制のためのサービスも提供している。それについての記事が、asahi.comにのっていたので、それを元にこのサービスがどの程度効果のあるものなのかを、考えてみる。結論を言えば、300万円も出して頼むほどの効果は上がってないよなぁといったところ。結局は、漏えいしたが最後といったところだろう。この件については、安易に紹介したくはなかったのだけれども、あまりにネットエージェントのやり方に無責任さと適当さを感じるので、感情に任せて書いてみる。まぁ、あく

lockcole 2007/06/30

これを見ていても，やっぱりネットエージェントの商売は嫌悪感があるなぁ・・・。

リンク

「Twitter Japan」サイトが登場、メールアドレス登録にご用心：CNET Japan Staff BLOG - CNET Japan

いま話題のコミュニケーションサービス﹁Twitter﹂の日本語版をかたるサイトが登場し、ネット上で話題となっている。サイトの名称は﹁Twitter Japan﹂。しかしそこには意味の通らない怪しげな日本語と、メールアドレスを入力するためのフォームがあるのみ。詳しい内容は一切書かれていない。 Twitter Japanのトップページメールアドレスを入力すると表示される画面日本レジストリサービスのWHOISサービスを使ってしらべたところ、連絡窓口は﹁CRM ASP﹂というところになっていた。ここのサイト︵http://crmasp.com/︶にアクセスしてみるが、ほとんど情報がなく、やはりユーザーの連絡先を書き込ませるためのフォームがある程度で、会社に関して詳しいことは一切書かれていない。米InterNICで調べたところ、CRM ASPはSan Franciscoにある企業との

lockcole 2007/06/29

あからさまに怪しいメールアドレス入力フォーム・・・・。Twitterなんてハイリテラシユーザしか使わないだろうに。どうなんだろう。 ●security ●Twitter ●ネタ

リンク

ソーシャル・ブックマークと悪質なWebサイト

2007年5月，ソーシャル・ブックマーク・サイトreddit.comにあったトップ記事が，マルウエアをダウンロードさせるWebサイトにリンクされた。RedditやDiggなどのソーシャル・ブックマーク・サイトでは，ユーザーの人気度に応じて記事をランク付けし，その記事へのリンクを掲載している。問題のリンク先にあったマルウエアはTrojan.ByteVerifyの亜種で，ユーザーのパソコンに別のマルウエアのダウンロードも行う。ソーシャル・ブックマーク・サイトからのリンクを使うと，どれくらい効果的にマルウエアを広められるのだろう。いったい何台のパソコンを感染させられるだろうか。悪質なWebサイトによって感染する数は，そのWebサイトを閲覧したユーザー数と，閲覧者の中でそのマルウエアに感染しやすいユーザーの割合によって決まる。英Eコンサルタンシーによると，あるWebページがDiggで人気記事に

lockcole 2007/06/28

これはけっこう危機感あり。ほぼ無意識に作業的にブクマしてしまう，まとめ系サイトやリンク集系でもしもソーシャルエンジニアリングをしたら被害は大きいかもしれない。

リンク

セキュリティもオープンソースで！――データセンターでもオープンソースの導入が進行中 | OSDN Magazine

オープンソース技術はすでにほとんどのデータセンターに浸透し、急速にその影響を拡大しつつある。だが、新しいLinuxサーバをラックに放り込むことには躊躇しないデータセンターの管理者たちも、自社のネットワークを魑魅魍魎︵ちみもうりょう︶の世界と隔てるためのファイアウォールの構築となると、途端に、オープンソース技術の利用に臆病になる。その裏には、セキュリティだけはオープンソースでは安全性、安心性が保証されないとの思い込みがいまだにあるようだが、もはやそうした考えは捨て去るべきであろう。ジョエル・スナイダー Network World 米国版オープンソース・セキュリティ・ツールには、商用セキュリティ・ツールなどに比べると、4つの優位点がある。それは、脅威に直面したときに機敏な対応が取れること、ソース・コードを入手して自主的に開発することが可能であること、個々の要求に応じて容易にカスタマイズでき

lockcole 2007/06/27

オープンソースのセキュリティ対策ソフトウェアの紹介。オープンソースの優位性，隠れコストの検討，市場での優位性についても解説されている。

リンク

セキュアプログラミングしよう。

Webアプリケーションのセキュリティホール対策Wiki † ネットワーク管理者まかせではセキュリティの問題は解決しません。Webアプリケーションの脆弱性に対する攻撃のほとんどが、ファイアウォールやIDSでは防ぐことができないからです。このサイトはWebアプリケーションを開発するプログラマ、SE、そして発注者が知っておかなければならない、アプリケーション開発レベル専門のセキュリティ情報サイトです。 ↑ セキュアプログラミングとは † セキュリティホールを作りこまない、安全なアプリケーションを開発する技術です。すべてのWebアプリ開発者に必須の技術です。と言ってもそんなに難しい話じゃありません。知ってれば済むだけのことです。自分で作ったシステムの安全性は自分の責任で！ ↑

lockcole 2007/06/25

Webアプリケーションのセキュリティに関連する情報がまとまっているWiki。脆弱性辞典，防犯ガイド，検査技法，関連ツールなどなど。

リンク

Quick and dirty httpbl and drupal. An attempt to weed out evil bots, a bit | dikini.net

lockcole 2007/06/25

SPAM対策のHTTPBL，Drupalのhttpbl.moduleではなくて別のPHPスクリプトを改造してindex.phpの先頭に記述して適用。仕組みは分からない。追跡調査。

リンク

画像ファイルに PHP コードを埋め込む攻撃は既知の問題

(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。典型的な攻撃のシナリオは次の通りです。追記：Tokenizerを使った例に修正しました。アバダなどの画像ファイルをアップロードできるサイトを探すローカルファイルインクルードバグを探す画像ファイルにサイトが利用している言語のコードを埋め込む攻撃コードを含んだファイルを画像ファイルとしてアップロードするローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃

lockcole 2007/06/25

ローカルファイルインクルードのバグを突いた攻撃に対する，画像ファイルアップロード側の対策。画像の形式変換(GIF→PNG→GIF)，ファイルの圧縮，適切な正規表現での<?タグ発見など。 ●security ●PHP

リンク

最速インターフェース研究会 :: coCommentの拡張機能をいれるとlivedoor Readerの動作がおかしくなるらしいので調べてみた

似たようなのを続けて見たので調査してみた。 http://d.hatena.ne.jp/ekken/20070303/1172921555 http://d.hatena.ne.jp/babie/20070227/1172547987 coCommentのFirefox用の拡張が原因っぽい。手元のFirefox2だとXULのエラーが出て上手くインストールできなかったんだけど、ソースを読んで調べてみた。原因はこのソースが読み込まれてるからだと思われる。 http://www.cocomment.com/js/core.js coCommentの拡張機能はページを読み込むたびにブックマークレットを実行するのと同じようなことをしてるみたい。その際に、サイト側で定義してある関数を上書きしてしまうことがある。$とString.prototype.stripが再定義されていて、これがlivedoor

lockcole 2007/06/24

coCommentのFirefox拡張で読み込まれるJSがグローバル汚染しまくりでLDRと干渉してしまってるらしい。LDRを動作無効リストに加えたらたぶん大丈夫だと思う。いまは動いている。

リンク

Kazuho Oku's Weblog : 固定化するIPアドレス、そしてブログパーツとプライバシー

サイドフィード株式会社から「あわせて読みたい」というサービスがリリースされていておもしろい (Broadband Watch の紹介記事)。たとえば、本ブログの「あわせて読みたい」を見てみると、納得感と新しい発見の混ざった結果が出てくる。同社の説明によると、「あわせて読みたい」は、様々なブログへのアクセスをブログパーツを用いてサイト横断的に集計することで、オススメのブログを抽出しているらしい。技術的にはどうやってるのかな、と思って HTTP ヘッダを見てみたんだけど、クッキーを使ってるのではないっぽい。ということは、IP アドレスベースのトラッキングなんだろう注1。このあたりで気になるのは、サイト横断的な情報を収集することをユーザーに告知しているのか (あるいはすべきなのか) というところ。ここで言うユーザー＝ブログの読者なので、言い方を変えると、この手のブログパーツを貼っているブログ

lockcole 2007/06/23

IPアドレスを元にサイト横断的情報を取得することの是非。昔Double-ClickがやったCookieの問題に似てるが，Cookieは拒否権があるけどIPだと何もしようがない点が異なる。

リンク

SELinuxでいろいろバックアップ／リストアしてみた― ＠IT

第2回SELinuxでいろいろバックアップ／リストアしてみた面和毅サイオステクノロジー株式会社 OSSテクノロジーセンター開発支援グループグループマネージャー 2007/6/20 今回は、前回セットアップしたPlone／Zopeのコンテンツ管理システムを基に、SELinuxを有効にした場合のバックアップに関して考察してみましょう。引き続き、前回作成したCentOS 4.4＋Plone用にカスタマイズしたSELinuxを用います。SELinuxのバックアップにこだわる理由バックアップ／リストアはLinux運用の基礎の基礎では？と思われたかもしれません。あえてSELinuxのバックアップにこだわった理由は、SELinuxにはファイルシステム上で﹁拡張属性︵XATTR︶﹂情報を持つという特徴があるからです。従って実際に運用していくうえでは、各種バックアッププログラムによって取

lockcole 2007/06/23

Linuxでよく使われるコマンド5つに対して，拡張属性（XATTR）情報を欠損することなくバックアップ・リストアができるかテストしてみた結果。dumpや問題なし，tarはラベル情報が欠落，あとcp -acには注意。

リンク

mixiを徘徊しているロボット達。あなたのマイミクは本当に人間か？*ホームページを作る人のネタ帳

lockcole 2007/06/21

botの進化とmixiの個人情報の組み合わせは危険きわまりないという指摘。いつ外部に吐き出されてもおかしくないしね(まぁこれはボットに限らないけど)。要注意。

リンク

無印吉澤（※新エントリはhatenablogに掲載中） - プライバシー侵害の幇助者 / Winny特別調査員2

吉澤です。このサイトではIPv6やP2Pなどの通信技術から、SNSやナレッジマネジメントなどの理論まで、広い意味での﹁ネットワーク﹂に関する話題を扱っていたのですが、はてなブログに引っ越しました。最新の記事は http://muziyoshiz.hatena blog.com/ でご覧ください。 RSSフィードは http://muziyoshiz.hatena blog.com/feed に手動で変更するか、 Feedly or Live Dwango Reader を使っている方は以下のボタンで変更ください。 ■[セキュリティ][P2P]プライバシー侵害の幇助者 / Winny特別調査員2ニュースを見てこんなに腹が立ったのは久しぶりです。このソフトは、明らかな害悪だと思います。以前からOne Point WallなどのWinny対策製品を販売しているネットエージェント社が、﹁Winn

lockcole 2007/06/21

ここで指摘されているように，タテマエの約束は守られることなく，終わりなきセキュリティ対策のエスカレートと個人の権利侵害が巻き起こる結果になると思う。それに，法的措置に出られる人がどれだけ居ることか。

リンク

はてなブックマーク

タグ

関連タグで絞り込む (61)

securityに関するlockcoleのブックマーク (85)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス