ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
strcmpを使ってパスワードを判定すると、タイミング攻撃 (timing attack) にやられる危険性があることの説明 (約20分)。 まとめ: パスワードなどの文字列を strcmp関数 (およびそれに類する関数) を使って判定すると、 その判定にかかる時間を測定することで、パスワードが推測できてしまう場合がある。 これをタイミング攻撃 (timing attack) という。 この例では、36種類の文字を使った8文字分のパスワードを推測するのに、 通常のしらみつぶしな方法 (bruteforce attack) … 368 = 2821109907456回 の試行が必要なのに対して、 タイミング攻撃を使った方法 … 10000×8 = 80000回 しかかからない。タイミング攻撃を成功させてしまうと、 重要な情報が漏洩してしまう危険性がある。 これを防ぐためには、なるべく実行時間
Cipher Mode CBC (暗号文ブロック連鎖モード:Cipher Block Chaining) 前のブロックの演算結果を次に引き継ぎます。平文の各ブロックは、暗号化される前に、前のブロックの演算結果である暗号文とビットごとの排他的 OR 演算によって組み合わされます。これにより、平文に同一のブロックが多数含まれている場合でも、それらのブロックはそれぞれ異なった暗号文へと暗号化されます。最初の平文ブロックの場合は、暗号化される前に、ビットごとの排他的 OR 演算によって初期化ベクタと組み合わされます。暗号文ブロックの 1 つのビットが破損すると、対応する平文ブロックも破損します。さらに、後続ブロックの、元の破損ビットと同位置にあるビットも破損してしまいます。 ECB (暗号ブックモード:Electronic Codebook) 各ブロックを個別に暗号化します。つまり、同じメッセージ
Welcome to the 2024 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25). This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working. The CWE Top 25
水漏れやつまりは水道設備があれば避けることは難しいトラブルですが、症状を確認した際に軽度と判断できた… Read More
新日本監査法人の季刊誌、IPOセンサー2006年1月号に掲載いただいたコラムです。 *** シリコンバレーでソフトウェア産業に携わる人たちを見て感心するのは、「地に足の着いたこまごまとした開発」と、「個別の開発を思い切り抽象化した包括的ビ ジョンの構築」との間を、自在に行ったり来たりする能力だ。アプリケーションの開発は、コードをがりがりと書く仕事。一方で、アーキテクチャをしっかりと 作り上げるには、個別の開発から何段階も次元を上げ、高いところから俯瞰する哲学的思考が求められる。そしてその両方を行き来することで技術が進歩する。 「現実の泥沼をかき分けて進む力」と、「体系化する力」の両方が求められる、知的力仕事だ。 一方、これをソフトウェアを使うユーザの側から見ると、「概念形成期には抽象的で難しいものでも、それがアプリケーションに落とし込まれた暁には、非常に簡単でわかりやすいものになっている」
この文書は、Linux および Unix システム上で安全なプログラムを書く際に必要と なる設計や実装について、そのガイドラインを提供します。 遠隔のデータを見るためのビューアーや Web アプリケーション(CGI スクリプト を含む)、ネットワーク・サーバ、setuid や setgid してあるプログラムが対象です。 C や C++、Java、Perl、PHP、Python、TCL、Ada95 個別のガイドラインも掲載します。 Table of Contents1. はじめに2. 背景2.1. Unix や Linux、オープンソースもしくは フリーソフトウェアについて2.2. セキュリティの原則2.3. なぜプログラマは危ないコードを書いてしまうのか2.4. オープンソースはセキュリティに効果があるのか2.5. 安全なプログラムの種類2.6. 疑い深く、こだわりが強いことに価値がある
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
