Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

2011年5月26日のブックマーク (4件)

  • 実は厄介、ケータイWebのセッション管理

    実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問

    実は厄介、ケータイWebのセッション管理
    ockeghem
    ockeghem 2011/05/26
    公開されたようです/↓id:itochan そういう意味ではなくて、セッションタイムアウト後でもセッションIDが再有効化され、同じセッションIDのユーザが複数できることが問題です
  • 「FX(外国為替証拠金取引)システム専用セキュリティ診断」サービスの提供を開始~金融システム特有の脆弱性を発見する特化型診断サービスの第1弾~ | ニュースリリース | 情報セキュリティのNRIセキュア

    ockeghem
    ockeghem 2011/05/26
    NRIセキュアさん。300万円から
  • yebo blog: iOS 4のハードウェア暗号がクラックされる

    2011/05/26 iOS 4のハードウェア暗号がクラックされる iOS 4に対応したデバイスにはハードウェア暗号化機能が入っており、パスコードを有効にすることでユーザデータはデバイス固有のUIDから計算された鍵を使って、256ビットAESで暗号化される。ロシアのElcomSoftがこの暗号化をクラックしたとの事[geek.com]。彼らが開発した「Phone Password Breaker」ソフトウェアを使う事で、それが可能になるという。どのようにハックするかは説明していないが、ユーザが設定するパスコードがキーになっているらしい。この設定が4つの数字の場合は、たったの10000のパターンしか存在しないため、ブルートフォース攻撃で10〜40分で解読できるとの事だ。パスコードが長い場合も、"escrow keys"と呼ばれるハッキングでバイパスする事が可能との事。ソフトウェアは$128(

    ockeghem
    ockeghem 2011/05/26
    『iOS 4に対応したデバイスにはハードウェア暗号化機能が入っており…ロシアのElcomSoftがこの暗号化をクラックした』
  • ソニー、“想定内”の攻撃を防げず

    ソニーとソニー・コンピュータエンタテインメントは5月15日、個人情報流出のためサービスを停止していたPlayStation Network(PSN)とQriocityを、米欧で一部再開した。だが一方で、情報セキュリティの専門家からはソニーの対策不足を疑問視する声が上がり始めた(図)。流出の最大の原因は「既知の脆弱性」(ソニー)を放置したこと。専門家からすれば“想定内”の攻撃にもかかわらず、ソニーは防衛策を怠っていた。 焦点の一つは「ログの有無」だ。PSNなどがサイバー攻撃を受けたのは米国時間の4月17日から19日。ソニーは同4月20日に問題を認識してサービスを停止したが、公表までに1週間を要した。セキュリティ対策に詳しいS&Jコンサルティングの三輪信雄社長は、時間がかかった理由を「サーバーのログを二重化しておらず、攻撃手法や被害実態が把握できなかったのではないか」とみる。 個人情報が流出し

    ソニー、“想定内”の攻撃を防げず
    ockeghem
    ockeghem 2011/05/26
    『ログを二重化していなかったとすると、セキュリティ対策が稚拙』<二重化はやってないところが多そう。ログの保護は#wasbook P367で説明(5行)