Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

関連タグで絞り込む (24)

タグの絞り込みを解除

securityに関するuguissのブックマーク (23)

  • Amazon EC2、SSH(22番ポート)の設定方法はこうすべき! | 横浜のホームページ制作 スタジオFIXの社長ブログ

    Amazonサポートセンターに連絡を取ってみた ところ、 寛大なご処置をいただけたものの、私に許された猶予は残り24時間。 GW真っ最中に、死刑執行寸前の身となってしまった Webデザイナーです。 でも、ここまで突き進んでこれたんだもの! この危機にも、ジャック・バウアー並みの超アクションで立ち向かっていこう! 結局、今回の私の不祥事は Amazon EC2、インスタンスを立ち上げてみた のステップ(7)で 「Security Groups」を設定した際に SSH(22番ポート)のIPアドレスをデフォルト(初期設定)の 「0.0.0.0/0」のままにしてあったことが原因でした。 Amazon EC2 へのSSH接続は「公開鍵認証方式」。 AWS Management Consoleで Key Pairsを取得してみた で取得した pemファイルが無いと、 私のEC2にはアクセスできないハズ

  • 警察にひどい扱いを受けたら - キリンが逆立ちしたピアス(ブログ版)

    暴行を受けたために保護を求めて警察に電話すると、被疑者扱いをされた上に、DNAサンプルをとられそうになったという経験談がweb上で話題になっている。 「烏賀陽弘道さんが体験した警察の横暴」 http://togetter.com/li/82613 読んだ人の多くが驚き、憤っている。 警察は、「社会の秩序を守る」のが仕事であり、「個人ひとりひとりの生活を守る」ことはない。だが、「市民を守る」という言い方で、まるで警察が自分たちの見方であるような錯覚を起こしやすい。警察官の中には誠実で良い人もいるだろうが、集団としては暴力行為を容認される権力を持った人たちだと捉えたほうがいいだろう。警察・検察関係の取材を重ね、事情をよく知る烏賀陽さんでも、対応では苦労されている。 ブックマークコメントでは、「こういう場合、どうすればいいのか?」「相談窓口はないのか?」という声があがっているので、紹介しておく。

    警察にひどい扱いを受けたら - キリンが逆立ちしたピアス(ブログ版)

  • 『Linux のアクセス拒否について』

    さて、ここまで来たら、再度、基のアクセス拒否について見直す。 Linux構造の中に、 etc hosts.allow hosts.deny 上記のファイルがある。これらでLinux系のOSでは、 リモートホストからのアクセスを制限をしている。 /etc/hosts.allow に指定されたホストからのアクセスが許可されます。 /etc/hosts.allow に指定されたホストからのアクセスが許可されます。 1. 以外の場合で /etc/hosts.deny に指定されたホストからのアクセスは拒否されます。 上記いずれにも該当しないホストからのアクセスは許可されます。 以上より、/etc/hosts.deny にまったく設定がない場合 (すべての行の行頭が "#" でコメントアウトされている場合) は、 アクセスの制御はまったく行われていないことになります。 また、これまでアクセス拒否の

    『Linux のアクセス拒否について』

  • Kozupon.com - 不正侵入を受けているか判断する!

    侵入されてしまったのか、そうでないのかを判断するには何はともあれ、そのホストのシステムの現状を把握するのが先決だと考える。当に侵入されたのか、そうだとしたらどのくらいの被害を受けたのか等を有る程度冷静な判断が必要になってくる。こんな場合、慌ててしまうのがつねだが、適切な対策を施すには冷静な判断が必要だと考える。 何はともあれ他人に迷惑をかけないために、対策としてネットワークケーブルを外してしまうのは、セキュリティ対策の一つの極意だが、当に侵入されているかの判断がつかない限り、サーバサービスを安易に停止させるべきでは無いと思う。 したがって、まず何よりも侵入をされたか否かを的確に判断しよう。初心者に多いのは、「何はともあれ再起動すれば直るのではないか。」という判断である。確かに、再起動せざる負えないときは有る。しかし、クラックな方に侵入されてたとしたら、ロジックボム(システムを破壊す

  • The Rails Way: Users and Passwords

    Last week I lost several productive hours resetting my ‘insecure’ password on several websites due to a security breach at a website I haven’t used in more than a decade, if you’ve ever used that site, you’d be well advised to change your password pretty much everywhere. In order to prevent this happening in the future, I figured I’d write up a simple best practices article on handling passwords a

  • Amazon EC2、X.509証明書を取得してみた | 横浜のホームページ制作 スタジオFIXの社長ブログ

    エンジニアではない、ただのWebデザイナーの私ですが、 Amazon EC2/S3を申し込んでみた ので、次のステップに進んでみることにしました。 まず「Amazon EC2」を使うためには、「X.509証明書」というものが必要だそうです。 ん? なにそれ?? 右上の「Your Account」をクリックすると表示される プルダウンの中から、「Access Identifiers」をクリック。 次にページの下の方にある「X.509 Certificate 」部分の 「Create New」の黄色いボタンをクリック。 You can only have one certificate associated with your AWS account. どうやら証明書とやらは、1アカウントにつき1個しか発行されないとのこと。 ふーんと理解した上で、「Yes」をクリック。 なにやら、ここでダウン

  • RailsにDoS脆弱性、XMLパースする全ユーザに対応推奨 | エンタープライズ | マイコミジャーナル

    Ruby on Rails 問題を引き起こせるXMLファイルの例 - Rubyサイトより抜粋 The ruby-security teamは23日、Ruby on Railsに脆弱性の問題があることを発表した。Railsで使われているXMLパースライブラリREXMLにDoS脆弱性があり、XMLエンティティエクスプロージョン攻撃を実施されると同ライブラリを使ったRailsアプリケーションをダウンさせることが可能になる。 影響を受けるRubyのバージョンは次のとおり。 1.9系すべてのバージョン 1.8.7-p72およびそれ以前のすべてのバージョン 1.8.6-p287およびそれ以前のすべてのバージョン Rubyでこの脆弱性に対処するには、rexml-expansion-fix.rbファイルをダウンロードしてデプロイし、REXMLを使うより前の段階で次のように同ファイルを読み込むようにすればい

  • sudo: sorry, you must have a tty to run sudo

    カテゴリー » Linux » Fedora August 27, 2007 sudo: sorry, you must have a tty to run sudo  一時的に管理者や他の権限をユーザに与える sudo コマンド。私は /etc/sudoers に「sawa ALL=ALL,NOPASSWD:ALL」と記述して、パスワード無しで管理者権限を得られるようにしています。しかし、いつの頃からか Fedora では Emacs の M-!(shell-command or shell-command.el) で sudo コマンドを使うとsudo: sorry, you must have a tty to run sudoと文句を言われるようになりました。さらに crontab の中で sudo を使ってもsudo: sawa : sorry, you must have a

  • JailBreakの安全性 - やねうらおブログ(移転しました)

    iPhoneのJailBreak(以下JB)に関して、よくわかりもしないくせに過度に危険性のみを吹聴するのはいい加減、やめないか。 ■ OpenSSHの危険性 もちろん、JB後にOpenSSHをインストールして、ID,PASSをdefaultのroot/alpineのままにしておくのは論外だ。 これだけは絶対にやめていただきたい。 まず、Terminalをインストールしてsuでsuper userになって、passwdでパスワードを変更すればとりあえずは大丈夫だ。 よりsecureにするには、以下の説明を。 OpenSSHを安全に使う設定(jailbreak後) http://iphone.goodegg.jp/archives/186 ■ 他のportが開いてしまう可能性 JBしたあとにインストールしたアプリによってその他のportが開いてしまう可能性は、ある。OpenSSHで使うpor

    JailBreakの安全性 - やねうらおブログ(移転しました)

  • iPhone3GをJailBreakするときの注意点 - hideden.hatenablog.com

    iPhoneはデータ取得方法にプッシュを指定しておくと、wifiエリア内でwifi接続していても3G圏内であれば常時3G経由のglobalIPを保持している。この状態だと、画面ロック状態でも3G経由のglobalIPできちんとping等に応答する。*1 で、事実上プロバイダが1社で126.240.0.0/12が割り当てられる。このIPアドレス帯域のPort22が開いてるSSHサーバーは、ほぼ確実にJailBreakしたiPhoneであると推測でき、password変更してない場合は例のpasswordで入りたい放題という事になる。 しかもこれ、wifi経由と違って画面ロック状態(バックライト消灯・画面非表示)でも接続可能なのでうっかりSSHを立ち上げたまま放置すると・・・・・。*2 wifiエリア内でしかSSHなんて使わないからpassword変更しなくても大丈夫とか思ってると痛い目にあう

    iPhone3GをJailBreakするときの注意点 - hideden.hatenablog.com

  • 404 Not Found

    実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.

  • あなたのスマホだいじょうぶ? ネットの安全特集2012 春 Vol.17 - Yahoo! JAPAN

    特集ページについてのご意見・ご感想をこちらまでお寄せください。 Copyright (C) 2008 Yahoo Japan Corporation. All Rights Reserved.

  • 高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと

    Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に

  • USBメモリを悪者にしないための“プラスアルファ”

    USBメモリを悪者にしないための“プラスアルファ”:セキュリティTips for Today(1)(1/3 ページ) 1つの脅威に対して取れる対策は複数の方法があり、その中から運用に適した方法を選択すべきです。日ごろから現場と密接に連携するサポートサービスは、脅威の特性を熟知し、複数の対策案から現場にあったものを選んでもらう必要があります。連載ではサポートエンジニアがそのノウハウを、今日使える“Tips”として解説します(編集部) はじめまして。今回から連載を担当することになりました、飯田と申します。私が勤務するトレンドマイクロでは、安全なデジタル情報を交換できる世界の実現を目指し、さまざまな不正プログラム対策に関するソリューションを提供しています。私はスレットモニタリングセンター(Threat Monitoring Center)のシニアスレットリサーチエンジニア(Senior Thr

    USBメモリを悪者にしないための“プラスアルファ”

  • 「RailsによるアジャイルWebアプリケーション開発」26章読了 - ITコンサルの日常

    SQLインジェクション 定義済みメソッド(findなど)やバインド変数を使っていれば問題ないというお話しです。 試しに問題となるコードと、簡単な攻撃を行ってみたいと思います。 まずはコントローラ。 app/controllers/products_controller.rb def sql_injection unless params[:title].blank? @products = Product.find(:all, :conditions => "title = '#{params[:title]}'") else @products = [] end end パラメータのtitleが、データベースのtitle列と一致する行を取得するコントローラです。 次にビュー。 app/views/products/sql_injection.html.erb <% form_tag :a

    「RailsによるアジャイルWebアプリケーション開発」26章読了 - ITコンサルの日常

  • クロスサイトリクエストフォージェリ - Wikipedia

    クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の

  • Ruby on Railsのセキュリティガイドブックが公開 | OSDN Magazine

    ドイツのWebアプリケーションセキュリティコンサル企業らが設立したRuby on Rails Security Projectは11月4日、Ruby on Rails(RoR)のセキュリティガイド「Ruby on Rails Security guide」を公開した。HTMLページまたはeブック形式で無料で閲覧できる。 RoRアプリケーションを安全にするためのガイドブックで、ドイツ在住の開発者で同プロジェクトのオーナーでもあるHeiko Webers氏が作成した。セッション、クロスサイトリファレンス偽造(CSRF)、アカウントハイジャックやCAPTCHAsなどのユーザー管理、SQLインジェクションやクロスサイトスクリプティングなどのインジェクションなどの項目について、説明や具体的なアドバイスを綴っている。 Webers氏は、RoRのようなWebアプリケーションフレームワークは正しく利用すれ

    Ruby on Railsのセキュリティガイドブックが公開 | OSDN Magazine
    uguiss
    uguiss 2008/11/10
    [for:tesshuuu]
    リンク

  • REXMLのDoS脆弱性に関して - Rubricks Project

    結構致命的な脆弱性なんだけど、そんなに騒がれていないのは何故だろう。まぁ、おかげで攻撃を受ける前に全環境にパッチを当てることができた。商用環境を抱えるとこの辺の動きがどうしても鈍くなる。 まずはRuby公式の発表から。 REXMLのDoS脆弱性 DoS vulnerability in REXML ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 とある。わざとぼかしてあるのかもしれないが、これでは不十分。管理者が明示的にRailsデフォルトのある機能を無効にしていない限り、全てのRailsアプリケーションはこの攻撃に対して脆弱となっている。これはRails-1.1.6・1.2.6・2.1.0の各バージョンで確認できた。 世の中の九分九厘のRailsアプリケーションはパ

    REXMLのDoS脆弱性に関して - Rubricks Project
    uguiss
    uguiss 2008/10/15
    [for:tesshuuu]
    リンク

  • 4桁の英字パスワードは3秒で破られる--IPAが注意を呼びかけ : CNETニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)

    4桁の英字パスワードは3秒で破られる--IPAが注意を呼びかけ 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は10月2日、2008年9月および第3四半期のコンピュータウイルス、不正アクセスの届出状況をまとめ、発表した。9月に寄せられた相談や届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分のIDで出品されている」といった、アカウントを不正に利用されたという被害が複数あったという。 相談の中には、数字だけの組み合わせや簡単な英単語をパスワードに設定していたために容易に見破られ、アカウントを不正に利用されたと推測されるケースがあった。オークションサイトなどのサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があるため、パスワードの作成や管理には十分な注意が必要としている。 オークションなどのサービスを提供するウェブサイトでは

  • Apache(SSL) + mod_proxy_balancerのバックエンドでRailsアプリケーションを動かす場合の注意点 - 元RX-7乗りの適当な日々

    SSL(HTTPS)の使用が前提のもと、フロントエンドでApache(mod_ssl + mod_proxy_balancer)をリバースプロキシ(兼ロードバランサ)として動かして、そのバックエンドでlighttpdやmongrelを使ってRailsアプリを動かす場合のメモ。 何も考えずにRailsアプリに対してHTTPS接続を行い、アプリ内でリダイレクト(redirect_to)を行った場合、RailsアプリはHTTPSで接続されていることを知らないため、HTTPのURLへリダイレクトしてしまいます。 これを解決するためには、フロントエンドのApacheで、HTTPリクエストヘッダにHTTPS接続であることを指定することで、バックエンドのアプリに伝わるようにします。 # ↓のリンク先を参考にさせていただきましたm(_"_)m これに必要なのは、Apacheでmod_headersが組み込

    Apache(SSL) + mod_proxy_balancerのバックエンドでRailsアプリケーションを動かす場合の注意点 - 元RX-7乗りの適当な日々
  • 1 2 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.