■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
securityに関するnettaboのブックマーク (50)
-
nettabo 2010/05/18
-
ハードディスク消去ツール「wipe-out」
Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / ハードディスク消去ツール / ダウンロード / Q&A (最終更新: 2024-11-16) ご利用マニュアル / マニュアル本 2004年版 / 2011年版 / 2016年版 #はじめに | #こんなことできます | #カンタン操作 | #ダウンロード | #おことわり | #関連リンク 初版: 2002-03-13 改訂その2: 2004-06-23 最終更新日: 2024-12-01 【イベント情報】 2024年12月29日(日)は 「東地区 サ-25a」 へお越しください。 ChatGPTによる紹介 | Q&A | バグ情報 | ダウンロード | New! ★名前入れサービス★ CD-ROMやUSBメモリ、ネットワークやフロッピーからブートすれば、 カンタン操作できれいに
-
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
-
ハードディスクの内容を安全に消去 - DBAN
PCの廃棄あるいは再利用に当たっては、データ流出を招かないようハードディスク上のデータを読み出し不可能なように消去する作業が必須である。最近は量販店ソフトコーナーでもこうした消去ユーティリティが販売されているが、今回はインターネットで配布されている無償利用可能な消去ユーティリティ、Darik's Boot and Nuke(DBAN)を紹介したい。 DBANは、Darik Horn氏によって開発されたLinuxベースのハードディスク消去ユーティリティ。FDおよびCDイメージとして配布されている。配布イメージから1枚のFDまたはCD-ROMを作成してPCをブートし、PCに接続されたハードディスクの内容を安全な方式で簡単に消去できる。USB-FDからのブートに対応していれば、ノートPCなどのブート可能なドライブを内蔵していないPCでもDBANを利用できる(注1)。 消去対象のディスクは IDE
-
MacもWindowsも1本で3台まで――「ウイルスバスター2010」発表
トレンドマイクロは9月2日、最新セキュリティスイート「ウイルスバスター2010」の製品発表会を開催した。同日Webダウンロード版の先行販売を開始、パッケージ版は9月4日に発売される(→製品ラインアップと価格)。 ウイルスバスター2010の最大の目玉は、Mac OS X向けの「ウイルスバスター for Mac」を同梱した点だ。ライセンス数は従来通り最大3台までだが、WindowsとMacを自由に組み合わせて利用できる。同社は「MacはOSとしては堅牢だがフィッシング詐欺などのOSに依存しない脅威には対策を取る必要がある」と強調し、実際にTwitterを利用して危険なWebサイトへ誘導するといった事例を紹介、Macを狙ったWebベースの攻撃が増加傾向にあると指摘する。 また、ウイルスバスター2010では1枚のメディアにWindows版とMac版の両方が格納されており、使用するPCに応じて対応す
-
-
『DP Shredder』でファイルを確実に復活不能に! | ライフハッカー・ジャパン
Windowsのみ:『DP Shredder』はファイル、フォルダを抹消し、ディスクスペースを確保してくれるソフト。スタンドアローンタイプで、しかも軽いので、フラッシュドライブのツールボックスあたりに入れておいても損はなさそうですよ。 ディスク、フォルダ、ファイルを選択したら、削除方法と、およびその削除方法を何度実行するのかを選びます。 「全て0を上書きする」、「ランダムなデータブロックで上書きする」、「その他のもっと強力な方法」などが選べます。『DP Shredder』はUS DoD 5220.22.M ECE 7X(『驚速データ消去』で言うところの「高レベル」)のレベルでデータを削除が可能。ファイルを削除し、全ロケーションを文字で上書きし、ランダムな文字でさらに上書きし、それを何度か繰り返します。一連の作業が終わった時点で、削除された全てのデータはなんと合計49回上書きされたことになる
-
無線LANのセキュリティに危機?「WEP」に続いて「WPA」までも一部解読
以前GIGAZINEで一瞬にして無線LANの暗号化方式「WEP」を解読するアルゴリズムが神戸大学の森井昌克教授から発表されたことをお伝えしましたが、今度はWEPよりも強固な暗号化方式である「WPA」が一部解読されてしまったそうです。 WEPが解読された時はニンテンドーDSがWEPにしか対応していないため、セキュリティ上の問題が懸念されましたが、今度はコンテンツなどの購入にクレジットカード決済を用いることができるXbox360やPSPのセキュリティ上の問題が懸念されています。 ※11月8日13:00にXbox360やPSPで安全性を確保する方法を追記しました 詳細は以下の通り。 Once thought safe, WPA Wi-Fi encryption is cracked この記事によると、WEPよりも強固な無線LANの暗号化方式である「WPA」の一部を解読することに成功したことが、来
-
TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows Vista/XP, Mac OS X and Linux
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on o
-
徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性
_書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 「PHP×携帯サイト デベロッパーズバイブル」という携帯サイト開発のノウハウを解説した書籍が今月初頭に発売され、話題になっている。Amazonの「インターネット・Web開発」カテゴリで1位ということで、たいしたものだ。私も発売前から予約して購入した。 私がこの書籍を購入した動機は大きく二つある。一つは、携帯サイトの最新の開発ノウハウをまとめた書籍に対する期待をしていたということ。もう一つは、セキュリティに対する記述がどの程度あるのかを見てみたいというものだった。 このうち、前者については、期待は叶えられた。非常に盛りだくさんのテーマが手際よくまとめられていて、かつ読みやすい。あまり原理・理屈のことは書いていないが、開発現場では、コピペの情報源として重宝されることだろう。 しかし、問題はセキュリティについての記述である。 本社のサ
-
旧・Macの手書き説明書 - FC2 BLOG パスワード認証
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ https://mac-tegaki.comへ移転中 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
-
Rails が即死する REXML の DoS 脆弱性について - 2nd life (移転しました)
http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/ 先日公開された、REXML の脆弱性ですが、「あーそうなんだ、でもうちの Rails のサービスじゃ REXML でパースする処理なんて書いてないから別にいいや」とか思っている方、大変危険です。みんなパッチあてようよ! XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 REXMLのDoS脆弱性 と書いてある通り『大部分のRailsアプリケーションはこの攻撃に対して脆弱』なのです。たぶん今世の中にある Rails な Web サービスの9割が現状でも、
-
PHPのSessionモジュールの脆弱性
(Last Updated On: 2018年8月13日)たまたま目に止まったブログがあるので紹介します。 PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性 http://www.tokumaru.org/d/20080818.html#p01 [php]session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能 http://www.tokumaru.org/d/20080819.html#p01 この危険性はStrict Sessionパッチが作られた頃にも議論されていました。このパッチを摘要するとセッションアダプション脆弱性も修正します。もし、互換性なので要件で厳格なSession管理ができない場合でもセッションIDに利用可能な文字は安全な文字のみに限定されるのでパストラバーサルなどの
-
MOONGIFT: Web2.0時代のセキュリティ査定ツール「Ratproxy」:オープンソースを毎日紹介
ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。 レポート だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。 今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。 Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。 実行中 検査する項
-
PHPで安全なセッション管理を実現する方法に対する高木さんのコメントへのフォロー - いしなお! (2006-11-20)
_ PHPで安全なセッション管理を実現する方法に対する高木さんのコメントへのフォロー 高木さんのはてなブックマークコメントに、 [セキュリティ][乱数][暗号][PHP][moderate] PHPはセッションID生成にsecureな擬似乱数生成系を使用していないようだ。さすがPHPらしい駄目っぷり。 とあって、そこから人がたくさん来ているらしいんで、ちょっとだけフォロー。PHPのセッションID生成は、 sprintf(buf, "%.15s%ld%ld%0.8f", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10); なんて感じで、マイクロ秒単位の現在時刻+ユーザーのリモートアドレス+combined-LCG(線形合同法による乱数2つを組み合
-
-
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
-
-
ついにMac OSXでも!·TrueCrypt for Mac OSX MOONGIFT
セキュアなデータのやり取りをしたいと思うことはよくあるだろう。パスワードを使うのが基本になるが、他にも証明書やフィルタリングなど様々な手法がある。その中の一つでWindows上で良く利用されるのがTrueCryptだ。 Mac OSXユーザが歯がゆく思っていたこのソフトウェアに、ついにMac OSX版が登場した。これでWindows、Linux、Mac OSXとマルチプラットフォームで動作するようになった。 今回紹介するフリーウェアはTrueCrypt for Mac OSX、ついに登場したTrueCryptのMac OSX版だ。ソースは公開されているがライセンスが独自なので、フリーウェアとして紹介したい。 TrueCrypt for Mac OSXでは現状、残念ながら隠しドライブは作成できないようだ。なのであくまでもドライブやファイルの暗号化ツールとしての利用になる。が、それでも手軽に暗
-
TruecryptをMac OSXで·OSXCrypt MOONGIFT
Windowsで人気の高い暗号化ドライブ作成ソフトウェアのTrueCrypt。漏洩するとまずい各種データを秘密裏に扱うのにちょうど良い、便利なソフトウェアだ。 そしてついにMac OSX版が登場した。これであのデータもこのデータも秘密にできるという訳だ。 今回紹介するオープンソース・ソフトウェアはOSXCrypt、Mac OSX版のTrueCryptだ。 試した訳ではないが、Windows版のTrueCryptとの互換性もあるらしい。これでデータの受け渡しが暗号化されたイメージファイルごとになるので便利だろう。インストーラーが付属するのでインストールも容易だ。 利用はターミナルから行う。例えば「ocutil create -verbose -fat -algorithm Serpent-Twofish-AES -size 20M ~/Downloads/TestCryptVolume.im
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました