[B! security] tasanobuのブックマーク

tasanobu id:tasanobu

securityに関するtasanobuのブックマーク (16)

SSL/TLSライブラリの正しい使い方（もしくは、コモンネームの検証について）
スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の2種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したことサーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です︵証明書の検証に失敗した場合はSSL_connectがエラーを返します︶。一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ
tasanobu 2015/03/31
ios

セキュリティ

ssl

security
リンク
特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter でDMが送信されていた何やら Twitter で勝手にDMが送られるという事案が発生していた模様。調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。﹁ちょっとこれみてくれない﹂とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) ︻拡散希望︼twitterの新型ウイルスがヤバい URL踏んだ
tasanobu 2013/03/02
twitter

oauth

セキュリティ

認証

security
リンク
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。本連載は、JSP／サーブレット＋StrutsのWebアプリケーション開発を通じて、Java言語以外（PHPやASP.NET、Ruby on Railsなど）の開発にも通用する
tasanobu 2013/02/19
セキュリティ

web

security

脆弱性
リンク
スマートフォンアプリへのブラウザ機能の実装に潜む危険　――WebViewクラスの問題について
はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能
tasanobu 2013/02/01
Android

javascript

セキュリティ

security

webview

スマートフォン

プログラミング
リンク
WebView の脆弱性編 - Android セキュリティ勉強会
tasanobu 2013/01/31
Android

セキュリティ

security
リンク
iOS Security - May 2012 (pdf)
iOS Security May 2012 2 Page 3 Introduction Page 4 System Architecture Secure Boot Chain System Software Personalization App Code Signing Runtime Process Security Page 7 Encryption and Data Protection Hardware Security Features File Data Protection Passcodes Classes Keychain Data Protection Keybags Page 13 Network Security SSL, TLS VPN Wi-Fi Bluetooth Page 15 Device Access Passcode Protection Con
tasanobu 2013/01/30
Apple

mobile

security

セキュリティ
リンク
【commと個人情報】電話番号から本名を特定される危険性について
﹁commを使っていると電話番号から本名がバレる可能性がある﹂ことがわかったので、その検証方法や、この件から考えられる危険性や注意点など、commを利用するかどうかを判断する参考になる項目について解説します。 ※︻重要︼2012年12月12日‥バージョン1.2.6にて、本名が表示される部分が修正されました→詳しくはこの記事の末尾にある追記参照目次 1. きっかけ2. 検証手順︵電話番号から本名が割り出されるまで︶2.1. １．電話帳に﹁電話番号﹂を登録2.2. ２．commで﹁電話帳アップロード﹂をONにする2.3. ３．commの友だちリストを確認する2.4. ４．友だちの名前をタップする2.5. ５．プロフィールを表示する3. 実験結果4. ポイント4.1. １．﹁本名がばれる﹂のが問題なのではない4.2. ２．電話帳のアップロードを拒否しても防げない4.3. ３．本名登録が推奨され
tasanobu 2012/12/12
iPhone

comm

Android

security

電話番号

個人情報
リンク
The problem with OAuth for Authentication.
I want to thank Nat Sakimura for doing a version of this post in Japanese . In some of the feedback I have gotten on the openID Connect sp...
tasanobu 2012/03/07
OAuth

OAuth 2.0

OAuth2.0

security

セキュリティ
リンク
iPhoneアプリ用のログイン情報設定画面の作り方（その２） - tomute's note
iPhoneアプリ用のログイン情報設定画面の作り方という記事を先日書いたのだが、パスワードをNSUserDefaultsを使用して平文で保存する事はセキュリティの面から好ましくないとの事︵Storing passwords in iPhone applications - Stack Overflow︶。上記の記事によると、セキュリティ対策としてKeychainを使う事を薦めているのだが、Appleのドキュメント︵Keychain Services | Apple Developer Documentation︶にもiPhoneにパスワードを保存する場合にはKeychainを使う事が重要であると書かれていた。ちなみに上記のAppleのドキュメントによると、個々のiPhoneアプリはKeychainにアクセス可能であるが、他のiPhoneアプリのKeychainアイテムにはアクセス出来な
tasanobu 2010/06/06
iPhoneアプリ

iPhone

パスワード

password

セキュリティ

security

keychain
リンク
高木浩光＠自宅の日記 - ドワンゴ勉強会でお話ししたこと
■ ドワンゴ勉強会でお話ししたこと 8月28日の夕刻、ドワンゴ主催の「技術勉強会」にお招き頂き、少しお話をしてきた。テーマは「P2Pネットワーク」。もしもニコニコ動画をP2P方式で配信する（回線コスト軽減のため）としたらというテーマが暗に想定されているようだったので、それに沿ってお話しした。講演者は他に、金子勇氏と、NTTの亀井聡氏、P2P型掲示板「新月」の開発者でドワンゴ社研究開発部の福冨諭氏ほか。私からお話ししたのは主に以下の2点。そもそもなぜP2Pにするのか。手段が目的になってしまってはいけない。利用者のプライバシーを確保する設計の必要性と可能性。 1点目は、以前からあちこちで話してきたことで、そもそも「P2P」とは何かというときに、peer-to-peer方式のネットワークという元来の意味に立ち返れば、decentralizedな構成にできて、ad hocに構成できるといった
tasanobu 2009/09/23
ネットワーク

network

security

web
リンク
Avira AntiVir Personal
ライセンス‥ 広告ウェアおすすめ度‥ ( 4.87点 ) 著作権者‥ Avira GmbH 動作環境‥ 2000/XP/Vista 公式サイト‥ Free antivirus - Avira AntiVir 赤い傘のマークが特徴的なドイツ発のアンチウイルスソフトです。(私が今勝手に決めた)フリーアンチウイルス御三家の一角を占めるソフトです。ちなみに、後はAVGとavast!です。この御三家は実に良いですね。互いに競争して切磋琢磨してどんどん良くなってる気がする。アンチウイルスソフトの検出力テストを行っている機関の﹁Av-Comparatives﹂のランキング(2008年2月4日)でも、 Avira AntiVirが2位、AVGが5位、avast!が8位と素晴らしい成績を残しています。ちなみに、ノートンは6位、私がお金を払って使ってるNOD32は7位、ぜひしっ
tasanobu 2009/08/11
windows

セキュリティ

security

virus
リンク
狙われた“つぶやき”――Twitterに仕掛けられたワナ
Twitterのつぶやきが狙われた。しかし、これは氷山の一角かもしれない。それだけ拡大したTwitterは、これからどのような方向に進んでいくのだろうか。 2008年4月23日に日本版サービスが開始されて、まもなく1周年を迎えるミニブログサービス﹁Twitter﹂。米comScoreの調査によれば、全世界のTwitterのトラフィックはここ数カ月で急増し、2月には伸び率が700％を超えたという。しかも、爆発的な成長の背景には、従来の主なユーザー層である18～24歳よりも、20代後半～50代のユーザーが急増していることもあるようだ。そして、ユーザーが増えるとともに、さまざまな犯罪の標的にもなってきている。このことは、以前も伝えた通りだが、その時は想像し得ないほどの急増ぶりなのだ。リンクをむやみにクリックしてはいけない？4月12日、米TwitterはXSS脆弱性を突いたワーム攻撃を受けた
tasanobu 2009/04/20
business

SNS

security

IT
リンク
Yahoo!ショッピングにおけるログ設計と監視
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blogこんにちは、ショッピング事業部開発部の吉野と申します。今回は﹁アプリケーションログの設計と監視﹂について、実際にYahoo!ショッピングで採用している方法を少し交えながらお話しさせていただきます。 1.ログ設計のポイントログ設計は、以下のポイントに注意して行うとよいでしょう。・ログ出力のポイントが押さえられているか ⇒セッションの始まりと終わり、処理の過程、例外処理の中など。フローチャートのような処理フロー図があれば、そこにログ出力ポイントを書き込むとわかりやすくなります。・出力する情報に過不足はないか ⇒﹁いつ(システム時間)﹂﹁だれが(プロセスID・IPアドレスなど)﹂﹁どこで(パスなど)﹂﹁なにをした(実行コマン
tasanobu 2009/03/12
プログラミング

開発

internet

programming

server

security

web

サーバ

development
リンク
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。文字エンコーディングに依存する問題をさらに分類すると2種類ある。︵1︶文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と，︵2︶文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。不正な文字エンコーディング︵1︶――冗長なUTF-8符号化問題まず，︵1︶の不正な文字エンコーディングの代表として，冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン︵表1に再掲︶を見ると，コード・ポイントの範囲ごとにビット・パターンが割り当てられているが，ビット・パターン上は，より多くのバイト数を使っても同じコー
tasanobu 2009/03/04
文字コード

セキュリティ

プログラミング

programming

security

web
リンク
なぜネットワーク通信を盗聴できるのか？
インターネットでは，パスワードやクレジット・カードの番号が盗聴されないように，暗号化してデータをやり取りすることがある。では，なぜ暗号化しなければ，情報を盗まれてしまうのだろうか？盗聴の仕組みは，実はイーサネットの通信方法とも深い関係がある。そこで，ネットワークはどのように通信を実行しているのかをもう一度確認しながら，盗聴に対する対策を考えていこう。今回のテーマは「盗聴」である。盗聴と聞いて最初に思い浮かべるのは，電気のコンセントや受話器のマイクのようにカモフラージュされた盗聴器ではないだろうか。最近はストーカー被害などとともに，盗聴の被害に遭う人も多く，ある運送会社では引越しの際に盗聴器が仕掛けられていないか調べるサービスが人気だという。なんとも危ないテーマだが，この「盗聴」という行為がネットワーク上でも行えることはご存じだろう（図1）。しかし，前述の盗聴と違う点は，傍受する対象が音
tasanobu 2008/11/09
network

security

セキュリティ

ネットワーク

盗聴
リンク
PDF UnlockerでプロテクトされたPDFファイルからパスワードなしでコピペ（無料） | ライフハッカー・ジャパン
デスク配線がスッキリ。Ankerの全部入り12 in 1モニタースタンドが突然8,250円OFFされてた #Amazonセール
tasanobu 2008/07/26
ロックを解除できるらしい

pdf

security

tool

windows
リンク
1