[B! セキュリティ] reponのブックマーク

HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp

なんですかこれは！ New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？ Web Proxy Autodiscovery ですって？チョットニホンゴデオネガイシマスってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connectとか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /

repon 2016/07/28

リンク

今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料

PHPカンファレンス2020での講演資料です。アジェンダ誤解1: Cookieは誤解がいっぱい誤解2: 脆弱性があるページにのみ影響がある誤解3: 脆弱なECサイトはセキュリティコードを保存している誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる誤解5: ハッシュ値で保存されたパスワードは復元されない誤解6: 高価なSSL証明書ほど暗号強度が高い誤解7: TRACEメソッドの有効化は危険な脆弱性である誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する誤解9: イントラのウェブサイトは外部からは攻撃できない誤解10: セキュリティ情報はウェブで収集する

repon 2015/10/03

リンク

オープンソースSSHクライアント「PuTTY」、トロイの木馬版が見つかる--データ窃盗の恐れ

印刷するメールで送るテキスト HTML 電子書籍 PDF ダウンロードテキスト電子書籍 PDF クリップした記事をMyページから読むことができます情報を盗むトロイの木馬が含まれたバージョンのオープンソフトウェア﹁Putty﹂のクライアントが出回っていることが明らかになった。 Symantecの研究者によれば、開発者のプライバシーや安全性を侵害する可能性のある、オープンソースSSHクライアントPuTTYの非公式バージョンが配布される事例が見つかっている。 Simon Tatham氏が開発したPuTTYは、世界中のウェブ開発者、管理者、ITスタッフに利用されている。このクライアントは協調作業やIT プロジェクトの作業で使われており、暗号化された接続を通じてリモートサーバに接続するのに使用される。しかし、今回はPuTTYのオープンソースであるという性質が悪用された。トロイの木馬バージ

repon 2015/05/20

リンク

セキュアプログラミング（防御的プログラミング）の歴史をざっと振り返る

(Last Updated On: 2019年2月12日)キュアプログラミング︵防御的プログラミング︶の歴史をざっと振り返ってみたいと思います。セキュアプログラミングは防御的プログラミングとも言われるプログラミングの原則の1つ※です。古くからある概念ですが、誤解または理解されていない概念の1つではないでしょうか？ ※ Defensive Programmingとして記載されています。何故、一般に広く常識として理解されていないのか？その理由は防御的プログラミングの歴史にあるのかも知れません。参考‥ セキュアプログラミングの7つ習慣﹁出力対策だけのセキュリティ設計﹂が誤りである理由セキュアプログラミングの必要性が認識された事件コンピュータセキュリティの基礎的概念は60年代から研究されていました。その成果も踏まえ、インターネットの前身であるARPA NETは1969年から稼働を開始しまし

repon 2015/05/17

セキュリティ

リンク

本当は怖いパスワードの話ハッシュとソルト、ストレッチングを正しく理解する－＠IT

PSN侵入の件から始めよう今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。このときの様子は、﹁セキュリティクラスタまとめのまとめ﹂を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん﹁パスワードは平文保存されていた﹂と発表されると、﹁そんな馬鹿な﹂という、呆れたり、驚いたりのつぶやきが非常に多数流れます。しかし、15:03ごろに﹁パスワードは暗号化されてなかっ

repon 2015/05/09

リンク

『証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」』は何に使え、何に使えないのか - いろいろやってみるにっき

やっと、ついに、誰もが無料でHTTPSを使えるようになる！…MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunchだが、ブコメ欄で﹁フィッシングサイトが見分けられなくなる﹂と勘違いしている向きがあるようなので、ちょっと書いておく。このLet's Encryptだが、Let’s Encrypt: Delivering SSL/TLS Everywhereに説明が書かれている。そもそも上のTechCrunchの記事ではLet's Encryptがどういうものか分からない。この記事では何ができて何ができないかを書いていないし。 TechCrunchの記事はオレが見た時点(2014/11/20 5:00)ですごいブクマ数(792ユーザ)なんだけど、本体の説明のブクマ数は4ユーザ、オレがブックマークしたので5ユーザである。ちょっと調べてからコメントすればいいのに。下記のほう

repon 2015/05/05

リンク

HTTPS 化する Web をどう考えるか - Block Rockin’ Codes

Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。そして、元エントリのライセンスである CC BY-SA 3.0 に則り、本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である

repon 2015/05/05

リンク

パスワード用のハッシュとは（猛省用資料）

昨日の記事はだいぶ注目を集めたようです。今日は自分向けの技術的なメモです。パスワード等に使うのにSHAなどのよく知られたハッシュ関数ではなぜダメなのか？　パスワード用のハッシュ関数は何が違うのか？　という話です。なお、今回はほんとに昨日今日でいろいろ仕入れたもののため、中身も薄いし間違ってるかもしれません（また、個別のアルゴリズムやテクニックなどは陳腐化しやすいので、後日にはいろいろ変わっていることでしょう）。その辺は注意してください。ネタ元は http://throwingfire.com/storing-passwords-securely/#notpasswordhashes など、あと https://plus.google.com/102550604876259086885/posts/4eoNnNSQ7W6 にコメントをいただいた皆さん（ありがとうございます！）。で。

repon 2015/04/25

セキュリティ

リンク

QA＠IT サービス終了のお知らせ - ＠IT

平素よりQA＠ITをご利用いただき、誠にありがとうございます。QA＠ITは﹁質問や回答を﹃共有﹄し﹃編集﹄していくことでベストなQAを蓄積できる、IT エンジニアのための問題解決コミュニティー﹂として約7年間運営をしてきました。これまでサービスを続けることができたのは、QA＠ITのコンセプトに共感をいただき、適切な質問や回答をお寄せいただいた皆さまのご支援があったからこそと考えております。重ねて御礼申し上げます。しかしながら、エンジニアの情報入手方法の多様化やQAサービス市場の状況、＠ITの今後のメディア運営方針などを検討した結果、2020年2月28日︵金︶15:00をもちましてQA＠ITのサービスを終了することにしました。これまでご利用をいただきました皆さまには残念なお知らせとなり、誠に心苦しく思っております。何とぞ、ご理解をいただけますと幸いです。QA＠ITの7年間で皆さまの知識

repon 2015/04/25

リンク

パスワードが漏洩しないウェブアプリの作り方〜ソルトつきハッシュで満足する前に考えるべきこと

■■序論徳丸さんのスライド﹁いまさら聞けないパスワードの取り扱い方﹂に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ

repon 2015/04/21

リンク

パスワード保存とソルトの話

先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encrypted/salted password と呼ばれていたものが、日本語の公式ブログでは﹁暗号化されたパスワード﹂となり、これが朝日新聞では﹁パスワード﹂と表記されているという問題です。専門知識があれば、ここにどういう違いがあるかはわかるのですが、そうでなければわからないのも無理はありません。しかし、わからないからといって省略して良いわけでもありません。パスワードと encrypted/salted password は大きく異なります。ではどう違うのか？　この話について、ひと通りの解説をしてみるのも良いのではないかな、と思ったのでしてみます。﹁パスワード﹂は保存されない

repon 2015/04/21

リンク

NginxでHTTPS：ゼロから始めてSSLの評価をA+にするまで Part 2 – 設定、Ciphersuite、パフォーマンス | POSTD

NginxでHTTPS‥ゼロから始めてSSLの評価をA+にするまで Part 2 – 設定、Ciphersuite、パフォーマンス今日のインターネットの世界では、一般的な静的Webサイトも含め、全てのWebサイトに、強固で安全なHTTPSのセットアップが必要となります。この記事は、Nginx セキュリティをどのようにセットアップするのかに関するシリーズのパート2です。パート1は、Webサーバに有効な署名証明書をセットアップする話で終了しました。しかしこれには、最適な設定とは言い難い、デフォルトのNginxの設定を使用していました。この記事を読み終えれば、SSL Labsのレポートで、A+の評価を獲得できる安全なHTTPSの設定ができます。それだけでなく、追加でいくつかの微調整も行い、パフォーマンスそしてUXも向上させていきます。ここに掲載した記述やコードの抜粋の他にも、すぐに使

repon 2015/04/09

リンク

Rails セキュリティガイド | Rails ガイド

このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。このガイドの内容: 本ガイドで取り上げられている問題に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含めるべき項目、有名なセッション攻撃 Webサイトを開くだけで︵CSRFによる︶セキュリティ問題が発生するしくみファイルの取扱い上の注意、管理インターフェイスを提供する際の注意事項ユーザーを正しく管理する︵ログイン・ログアウトのしくみ、あらゆるレイヤにおける攻撃方法︶最も有名なインジェクション攻撃方法の解説1はじめに Webアプリケーションフレームワークは、Webアプリケーションの開発を支援するために作られました。フレームワークの中にはセキュリティを比較的高めやすいものもあります。実際のところ、あるフレームワークは他のよりも安

repon 2015/04/01

リンク

記者は「BadUSB」を試してみた、そして凍りついた

﹁BadUSB﹂という非常に危険な脆弱性をご存じだろうか。まだ大きな事件として明るみに出たものはなく、あまり知られてはいない。しかし今後、様々な方法でこの脆弱性が悪用され、企業ユーザーのITシステムが狙われる危険がある︵関連記事‥ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性﹁BadUSB﹂︶。危険性を正しく知ってもらうべく、また自分自身で怖さを理解すべく、記者は今回、自ら環境を構築してBadUSBの動作を確認した――。セキュリティ分野は特に﹁自分で触ってみるとよく分かる﹂記者は、自分の目で見たり触ったりして確認できたものしか基本的に信じない性格である。もちろん、記事を書くに当たって、あらゆる物事を自分で確認できるはずはない。確認できないケースについては、代わりにその事実を確認した人︵一次ソース︶に取材することなどにより情報を得るが、自ら確認できるチャンスが少しでもあれば、

repon 2014/11/13

キーボードやマウスに仕込まれる可能性があるのかよ

リンク

FiddlerをMacで動かす » ブロードヒューマンネットワーク社員ブログ

kijitoranekoです。こんにちは。 FiddlerはWebのHTTP通信のデバッグツールです。 Fiddlerは.NET環境上で動作します。よってネイティブではMacで動作しません。従いまして、こちらからまずMonoフレームワークをインストールします。 Monoとは、.NET互換環境を実現するオープンソースのライブラリです。私はこちらのMDKをインストールしました。その後で、こちらからアプリ自体をインストールします。立ち上がりました。こんな感じ。普通に動いているようです。めでたいですね。﹁Windows持っていません﹂というかたも、これで安心ですね。徳丸さんの素敵なこちらの本︵amazon評価満点ってすごい！︶もFiddlerを使用しています。これでこの本の理解も進みますね。頑張ります。ではまた。

repon 2014/10/11

リンク

ウェブアプリにおけるBash脆弱性の即死条件 #ShellShock - めもおきば

条件1. /bin/shの実体がbashのディストリビューション RHEL CentOS Scientific Linux Fedora Amazon Linux openSUSE Arch Linux (自ら設定した場合: Debian, Ubuntu) 条件2. 動作環境 CGI (レンタルサーバでありがちなCGIモードのPHP等も含む) Passenger(Ruby) 条件3. プログラム内容 Passengerは全死亡 *1 systemや `command`、 '| /usr/lib/sendmail' などで外部コマンド実行 *2 PHPのmailやmb_send_mail、その他フレームワーク等を介したメール送信 *3 以下は条件1が不要明示的にbashを呼ぶ先頭で #!/bin/bash や #!/usr/bin/env bash しているプログラムを実行 (rbenv

repon 2014/09/26

リンク

PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)～JSON等の想定外読み出しによる攻撃～ - ockeghem(徳丸浩)の日記

昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します︵同書P20の図1-23︶。前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成︵エンコード︶に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。しかし、問題はこれだけではありません。正常

repon 2014/05/04

リンク

補足編：機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

﹁機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記﹂の補足編です。結局、よくわからないんだけど。よくわからない場合は、とにかく全てのレスポンスに X-Content-Type-Options: nosniff をつけましょう。機密情報を含むJSONにX-Content-Type-Options:nosniffをつける理由はわかったけど、﹁あらゆる﹂コンテンツにつける理由はなぜ？機密情報を含まなくても、<script>のような文字列を含むコンテンツをIEで直接開いた場合にはXSSにつながる可能性もあります。どのようなコンテンツにX-Content-Type-Options:nosniffが必要かを考えるくらいであれば、全てのコンテンツに付与したほうが間違いがなくていいでしょう、ということです。IEのためだけの問

repon 2014/05/04

リンク

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ

repon 2014/05/04

リンク

CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば

必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフあてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして

repon 2014/04/09

セキュリティ

リンク

はてなブックマーク

タグ

関連タグで絞り込む (52)

セキュリティに関するreponのブックマーク (36)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス