セキュリティに関するTrueSevenTHのブックマーク (23)
-
TrueSevenTH 2007/03/05
-
-
UTF-8 エンコーディングの危険性 - WebOS Goodies - 葉っぱ日記
UTF-8の非最小形式による代替エンコーディングの話。古典的な攻撃方法なので、知っていて当然の話だと思っていたのですが、意外にまだ知られていないんですね。古くは Nimda の攻撃でも利用されていました…というのを調べていたら、たまたま「セキュリティホールのアンチパターン」という資料がひっかかったので紹介しておきます。あとは、ばけらさんによる説明「用語「Unicode Web Traversal」@鳩丸ぐろっさり (用語集)」がわかりやすいです。 個人的には、「UTF-8」というからには、こういうおかしなバイト列が含まれていた時点で入力全てを捨ててしまって例外などを発生させるべきで、無理やり UTF-32 とかに直すのは間違っているように思います。そうでないと、0xC0 0x32 のように、完全に壊れている UTF-8 をどうするの?とかにもなりますし。 あと、どうでもよい話: そもそもU
-
UTF-8 エンコーディングの危険性 - WebOS Goodies
基本的に、まともな国際化ライブラリを使っていれば、上記のような不正な文字コードはきちんと処理してくれるはずです。実際、 Opera, Firefox, IE ともに適切にエスケープしてくれました。また、 UCS に変換した後にエスケープ処理を行うことでも対処できるかもしれません。しかし、複数のモジュールで構成されるような規模の大きいアプリケーションでは、そのすべてが適切な処理を行っていると保証するのも、なかなか難しいかと思います。ここはやはり、すべての外部入力に含まれる不正なシーケンスを、水際で正規化するという処理を徹底するのが一番かと思います。 例えば Ruby の場合、不正な UTF-8 コードを検出する最も簡単な方法は、 String#unpack を使って UCS へ変換してみることです(昨日の記事への kazutanaka さんからのはてぶコメントにて、 iconv でも同様なこ
-
OpenSSLが再認定されるまでの苦難の道 | OSDN Magazine
オープンソースソフトウェア研究所(Open Source Software Institute:OSSI)は先日、同プログラムの推進するOpenSSLがFIPS 140-2認定を取得し、一般向けのダウンロードを開始する旨をアナウンスした。今回のリリースは、昨年における認定作業の一時中断など、長い苦難の道を経た末での成果である。通常この種の認定作業は数カ月程度で終了するのに対し、この案件については驚くべきことに5年もの長期にわたる作業となったのだが、今回の認定作業に携わった関係者によると、今後行う同様の認定過程においてこれほど長期の遅延が生じることのないよう、必要な再発防止策は既に講じてあるとのことである。 OpenSSLとは、各種プログラムにセキュアなデータ通信を実装するために開発されたオープンソース系のツールキットであり、機能的にはプロプライエタリ系の暗号化プロトコルであるSSL(Sec
-
» Why Windows is less secure than Linux | Threat Chaos | ZDNet.com
Larry Dignan and other IT industry experts, blogging at the intersection of business and technology, deliver daily news and analysis on vital enterprise trends. Adrian Kingsley-Hughes sifts through the marketing hyperbole and casts his critical eye over the latest technological innovations to find out which products make the grade and which don't.
-
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Cheap Air Tickets Top Smart Phones fashion trends Healthy Weight Loss Health Insurance Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
-
Vulnerability Security Testing & DAST | Fortra's Beyond Security
Beyond Security simplifies network and application security testing. BeSTORM is a black box fuzzer, a method of dynamic application security testing, that uncovers unknown security weaknesses during the product development stage, so fixes can be made before a product is launched. This chaos testing style requires no source code to run and offers more than 250 pre-built protocols and modules or the
-
-
A Cost Analysis of Windows Vista Content Protection
Peter Gutmann, pgut001@cs.auckland.ac.nz http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.html Last updated 12 June 2007 (but see the note below) Distributed under the Creative Commons license (see Appendix) In early August of this year I gave a talk at a security conference with a significantly more up-to-date and cleaned-up version of this material (the writeup here was originally written f
-
-
-
Windowsパスワード解析
今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策
-
Vistaで動くAntiVirusソフト(まとめ) - TechNet フォーラム
Yagi@Saipanです。いつも、お世話になっております。 http://forums.microsoft.com/TechNet-JA/ShowPost.aspx?PostID=732557&SiteID=36 でも書きましたが、新たにスレッドを建てておきます。他にもありましたら、追加して下さい。 以下は、Vista Beta 2 ~ RC-1 で動作したものです。 RC-1 で動作しないものもあるかも知れませんが、ご参考まで。 #また、要登録も多いので、ダウンロード先リンクは載せていませんのでご了承の程。 ■ avast! 4 Home Edition Version 4.7.881 beta <x86/x64> http://forum.avast.com/index.php?topic=23424.0 (English) setupeng.exe / 11,703 KB (m
-
【ここが変わったWindows Vista:特別編】Vistaの知られざる機能を探る――“BitLockerドライブ暗号化”とは (1/4)
マイクロソフト(株)の次世代Windows『Windows Vista』には、パソコンのセキュリティー環境を改善するさまざまな機能が搭載されている。“BitLocker(ビットロッカー)ドライブ暗号化”機能は、Vistaで実装された新しいデータ保護のための機能である。これは今までのWindowsにはなかった機能であり、BitLockerに関する情報はまだ多くない。本稿ではマイクロソフトへの取材に基づき、BitLockerのアーキテクチャーと実際の使用法について解説する。 ひところは毎日のように、日本のどこかでノートパソコンを紛失したり盗まれたりして、病院の医療カルテや役所の個人情報、銀行の口座情報が流出するといったことが新聞紙上を賑わしていた。ノートパソコンを盗難から完全に守るのは難しいので、次善の策としてはノートパソコンに個人情報などを入れて持ち歩かないのが一番だ。しかし利便性を考えれば
-
-
暗号実装の魅力を探る - @IT自分戦略研究所
いま、現場で求められているキャリアやスキルは、どんなものだろうか。本連載では、さまざまなITエンジニアに自身の体験談を聞いていく。その体験談の中から、読者のヒントになるようなキャリアやスキルが見つかることを願っている。 携帯電話やカーナビゲーションシステムの普及に伴い、いま組み込み系開発で活躍する技術者が増えている。さらに組み込み系機器では盤石なセキュリティを確保する必要性も高まっている。組み込み系と暗号の最先端を研究するエンジニアを追う。 ■昔から暗号はあった 今回のテーマとなる技術は暗号と組み込み系となるが、まずはその前に暗号のルーツをひもとくところから始めよう。エジプトの古代遺跡に記された象形文字、ヒエログリフを見たことがあるだろうか。紀元前1900年ごろの遺跡に、最古の暗号文が使われていた、といわれている。 紀元前5世紀の古代ギリシャのスパルタでは、革ひもと棒を使ったスキュタレー暗
-
SpinNet : Notice of Service Termination
ご訪問いただいたお客様へのお知らせ Information for customers visiting this Web site from SpinNet アクセスいただいたWebサービスは提供を終了いたしました。 長年にわたり、多くの皆様にご利用いただきましたことを心よりお礼申し上げます。 SpinNetトップページへ The Web service you are trying to access has been terminated. We would like to thank all of you for your patronage over the years. Go to the SpinNet
-
Seagate、ハードウェアで暗号化を行なうセキュリティHDD
2007年第1四半期 発売 米Seagate Technologyは20日、ドライブに搭載したプロセッサでデータの暗号化を行なうセキュリティHDD「Momentus 5400 FDE.2」を発表した。出荷は2007年第1四半期の予定。 HDDに暗号化を行なうチップを搭載し、ドライブ内の全データを暗号化して読み書きする「DriveTrust」テクノロジーに対応した製品。HDD自体で暗号化を行なうため、ソフトウェア暗号化のようにCPUなどのリソースを消費せず、パフォーマンス低下がないことが特徴。 主な機能として、全データの暗号化のほか、ドライブとPCのペアリング、隠し領域の作成のほか、暗号化のキーを変更してすべてのデータを一瞬で消去する「Secure Erase」などを備える。また、OSがロードされる前に、HDDへのアクセスを認証する機能を備える。 主な仕様は、インターフェイスがシリアルATA
-
日本発次世代暗号方式「Camellia」、OpenSSL Projecrtが採用 | OSDN Magazine
NTT持ち株会社は2006年11月8日、三菱電機と共同開発した128bitブロック暗号アルゴリズム「Camellia」(カメリア)が、OpenSSL ProjecrtのSSL/TSLプロトコル用暗号ツールキット「OpenSSL toolkit」に採用されたと発表した。 9月にリリースされたOpenSSL 0.9.8c版からCamelliaが搭載された。同ツールキットに搭載される128bitブロック暗号はAESに続いて2番目。「AESと同等の安全性と処理性能を有すると位置づけられた」(NTT)としている。なお、0.9.8.x版の搭載ではコンパイルされず、次回のメジャーバージョンアップ時に標準インストールされる予定。 Camelliaは2000年にNTTと三菱電機が共同開発。ISO/IEC国際標準暗号、欧州連合推奨暗号、電子政府推奨暗号などの国際的な暗号方式の標準化規格・推奨規格に選定されてい
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
