securityに関するmkouheiのブックマーク (30)

  • ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F

    ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
  • パスワードの定期変更という“不自然なルール”

    しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ

    パスワードの定期変更という“不自然なルール”
  • 高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生

    ■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。

  • DNSSEC - ArchWiki

  • プライバシー情報を国外へ持ち出せる国、持ち出せない国の一覧

    プライバシー情報のような重要な情報を国境を越えて持ち出しが許可されているかどうか。クラウドを企業が利用する上で、それぞれの国にどのような法規制があるのかは大事な関心事となっています。 米調査会社のフォレスターリサーチが、そうした国ごとのプライバシー情報持ち出し規制について一覧で参照できるページ「Do You Know Where Your Data Is In The Cloud?」を公開しています。規制の強さごとに国を色分けして世界地図に表示するほか、一覧でみることもできます。 フォレスターリサーチの「Do You Know Where Your Data Is In The Cloud?」。Flashでできており、地図の一部拡大などインタラクティブに操作できる

    プライバシー情報を国外へ持ち出せる国、持ち出せない国の一覧
  • 高木浩光@自宅の日記 - 日本のインターネットが終了する日

    ■ 日のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は

  • カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ

    3. 何している? • 所属:独立行政法人 産業技術総合研究所 – 情報セキュリティ研究センター (秋葉原ダイビル) • IPA 「クラウド・コンピューティング社会の基盤に関する研究会」 委員 2009.3-2010.3 – 報告書HP http://www.ipa.go.jp/about/pubcomme/201003/index.html • Cloud Security Alliance Japan Chapter (日クラウドセキュリ ( ティアライアンス) ボードメンバー – http://www.cloudsecurityalliance.jp/ – 3番目のRegional Chapter • KNOPPIX日語版の管理もしていま… – http://www.rcis.aist.go.jp/project/knoppix/ 4. • クラウドコンピューティングと言うとコス

    カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
  • TravelerでiPhoneのリモートワイプを試してみた - コラボレーション・エンジニアの考える日々

    以前に8.5.1の情報として少しだけ書いたが、8.5.1からLotus Notes TravelerがiPhone対応になっている。そして、サーバーからリモートにあるiPhone上のデータを消去するというリモートワイプ機能が利用できる。しかし、このリモートワイプ機能、当に動くのか?という質問をよく受ける。というのは、Windows Mobileではデバイス上にTravelerクライアントを導入するのだが、iPhoneの場合は、Travelerクライアントは導入しない。つまり、Travelerのリモートワイプ機能は一体誰がデバイス上で実行するのか?という疑問だ。マニュアルにははっきり出来ると書いている。仕組み的には、ActiveSyncプロトコルがリモートワイプ機能を持っていて、TravelerがActiveSyncをしゃべるので、Dominoサーバーからリモートワイプコマンドを送信できる

    TravelerでiPhoneのリモートワイプを試してみた - コラボレーション・エンジニアの考える日々
  • 高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件

    はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ

  • TechCrunch | Startup and Technology News

    Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.

    TechCrunch | Startup and Technology News
  • [ウェブサービスレビュー]10分だけの使い捨てメールアドレスが取得できる!「10 Minute Mail」

    「10 Minute Mail」は、10分間だけ利用可能なフリーのメールアドレスを発行してくれるウェブサービスだ。サイトにアクセスするだけで任意の英数字を組み合わせた使い捨てのメールアドレス、いわゆる「捨てアド」が発行され、自由に(ただし10分だけ)利用することができる。 インターネット上で何らかのサービスに登録する場合、メールアドレスによる認証を求められるケースが多い。信頼のおけるサービスであればまだしも、素性の知れない運営元にメールアドレスを開示することに抵抗がある人は少なくないだろう。また、売買目的でメールアドレスを収集しようとする悪意ある業者が、何らかのサービスへの登録を偽ってフォームを設置している例もないわけではない。 このような場合にサービスを利用すれば、自分自身のメールアドレスを開示しなくとも、サービスへの登録および試用が可能になる。もちろんサービス提供側を欺くような使い方

    [ウェブサービスレビュー]10分だけの使い捨てメールアドレスが取得できる!「10 Minute Mail」
  • TLS/SSLに設計上の脆弱性、広範囲にわたって深刻な影響の可能性 | エンタープライズ | マイコミジャーナル

    The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. 4日から5日にかけて、さまざまなメディアでTLSに介入者攻撃を可能にする脆弱性があるのではないかというニュースが報じられるようになった。どこが発端になっているのかは定かではないが、参照リンクや日付、内容から判断するとMarsh Ray氏がまとめたRenegotiating TLSの文章が発端になっているようだ。なおこのURLはアクセス負荷が高くなったために一時的に用意されたもので、アクセスが落ち着いてきたらブログを元に戻すという説明が記載されている。 Renegotiating TLSには問題について記載した要約があるほか、詳細を記載したホワイトペーパ、パケ

  • パスワードの作り方、Google方式 | エンタープライズ | マイコミジャーナル

    Gmail - Web mail powered by Google Google Blog、Choosing a smart passwordにおいてパスワードを作るときの注意が紹介されている。Googleの提供しているWebサービスはGmailのメールアドレスとパスワードがアカウントになっている。Gmailのパスワードが漏れると、ほかのすべてのサービスへのアクセスも危険に晒されることを意味する。推測されにくいパスワードを作成することがとても重要だ。紹介されている注意点は次のとおり。 問題: 複数のWebサイトで同じパスワードを使いまわす 電子メール、オンラインバンキング、ソーシャルネットワーク、ショッピングサイトなどパスワードを要求するサービスが増え続けている。このため、これらアカウントで同じパスワードを使う人が多いのは想像に難しくない。しかしながらこれは危険な状況といえる。どれかひと

    mkouhei
    mkouhei 2009/10/09
    以前から言われているセキュアなパスワードの作成、管理方法だな。Google独自の方法というわけではないね。
  • 高木浩光@自宅の日記 - Winny事件を振り返る

    ■ Winny事件を振り返る Winny作者事件の控訴審判決公判が明日となった。一審判決から3年弱が経過したが、私のWinnyに対する考え方は変わっていない。当時の考えは以下の通りである。明日の判決を受けて、今度はどんな世論が展開されるだろうか。*1 Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根, 2006年12月12日の日記 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。(略) これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うよう

  • Google Tips for Stronger Passwords

  • パスワード管理Webサービスと連携できるFirefox向けパスワードマネージャ「LastPass Password Manager」 | OSDN Magazine

    Blogやオンラインショッピング、SNSなど、利用の際にログインが必要とされるWebサービスは多い。個人情報保護のため、これらに使用するパスワードはすべて異なるものを使うべきなのだが、現実問題としてそのように多くのパスワードを覚えておくのは大変である。そこで活用したいのが、パスワードをWebブラウザ側で一括管理できるパスワードマネージャである。今回紹介する「LastPass Password Manager」は、Webサービスとの連携により、複数のPC/Webブラウザ間でのパスワード同期機能を備えるパスワードマネージャだ。 LastPassLastPassが提供する無償のパスワード管理・同期サービスで、Internet ExplorerおよびFirefox(Windows/Mac OS X/Linux)向けプラグイン/拡張機能、そして有償ではあるがiPhoneBlackBerry、Wi

    パスワード管理Webサービスと連携できるFirefox向けパスワードマネージャ「LastPass Password Manager」 | OSDN Magazine
  • US Government to Support OpenID

  • 求む、新時代のセキュリティアーキテクチャ

    求む、新時代のセキュリティアーキテクチャ:セキュリティ、そろそろ音で語らないか(9)(1/3 ページ) 「クラウド」「仮想化」そして「セキュリティ」 「クラウド」は大ブームの様相を呈しています。クラウドの定義そのものもあいまいなので、もしゃくしもクラウドと名乗り始めました。ついこの前、ASPをSaaSと呼び変えていましたが、それが今度はクラウドと呼ばれています。日人は言葉の定義がないと落ち着かないのでしょう(ここでは何がクラウドであるのかについては触れません)。 クラウドと同じくもてはやされているのが「仮想化技術」です。いまではデスクトップPCの仮想化だけでなく、ハイパーバイザと呼ばれる、これまでの基OSを必要としない制御プログラムまで実用化され始めました。 仮想化というのはいまに始まったものではなく、物理的に不連続なメモリや、記憶装置の仮想化、Javaのようなアプリケーションの仮

    求む、新時代のセキュリティアーキテクチャ
  • iPhone 3Gのリモート・ワイプを試す

    ITのプロフェッショナルにとって,先日デビューしたiPhone 3G(厳密にはその基ソフトであるiPhone 2.0 OS,以下iPhoneとする)の目玉は米Microsoftのグループウエア「Exchange Server」との同期機能「Exchange ActiveSync」への対応だろう(写真1)。ActiveSyncを使えば,Windows Mobile端末と同様にExchange Serverのメールや予定表,連絡帳をiPhoneのメール,カレンダー,および連絡先と同期できる(残念ながらメモと仕事は同期できない)。気になるのは,盗難・紛失時にiPhoneのデータが守れるかどうか。そこで遠隔からデータを消去する「リモート・ワイプ」を試してみた。 ActiveSyncで同期したデータは,iPhoneのローカル・ストレージに書き込まれる。これらデータをネットワークを通じて遠隔から消去

    iPhone 3Gのリモート・ワイプを試す
  • How to Recover Your Firefox Master Password

    If you're using Firefox's built-in password management, you should also be using its master password feature to protect your saved passwords from prying eyes. But what happens if you lose your master password? Since the master password prevents anyone from accessing your saved passwords, you're out of luck if you lose your master password—that is, you can't access any of your saved credentials wit

    How to Recover Your Firefox Master Password