Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

セキュリティに関するy_rのブックマーク (31)

  • アプリケーションにおける権限設計の課題 - kenfdev’s blog

    日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能

    アプリケーションにおける権限設計の課題 - kenfdev’s blog
  • Myths about /dev/urandom

    2014-03-15 There are a few things about /dev/urandom and /dev/random that are repeated again and again. Still they are false. /dev/urandom is insecure. Always use /dev/random for cryptographic purposes. Fact: /dev/urandom is the preferred source of cryptographic randomness on UNIX-like systems. /dev/urandom is a pseudo random number generator, a PRNG, while /dev/random is a “true” random number ge

    Myths about /dev/urandom
  • CBC modeに対するPadding oracle attackをやってみる - ももいろテクノロジー

    この記事は「脆弱性"&'<<>\ Advent Calendar 2015」23日目の記事です。 ブロック暗号モードのひとつであるCBC modeには、Padding oracle attackと呼ばれる攻撃手法が存在することが知られている。 これは、繰り返し復号を行うことができ、かつ復号の成否が観測可能なとき、バイトごとのブルートフォースにより暗号文が復元できるというものである。 ここでは、実際に簡単なコードを用いてこれを確認してみる。 環境 Ubuntu 14.04.3 LTS 64bit版、Ruby 1.9.3 $ uname -a Linux vm-ubuntu64 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux $ lsb_re

    CBC modeに対するPadding oracle attackをやってみる - ももいろテクノロジー
  • コンピュータセキュリティと様々なサイドチャネル攻撃|Rui Ueyama

    コンピュータセキュリティというのは微妙なもので、正面からの攻撃には安全でも、攻撃対象とは思われていなかった部分を突くとあっさり情報が盗めるパターンがある。そういう攻撃手法をサイドチャネル攻撃という。ここではサイドチャネル攻撃についていくつか見てみよう。 たとえば社外秘の文書をセキュアにブラウズしたいとしよう。VMwareなどを使って仮想マシンにOSを2つインストールして、通常利用環境とセキュア環境を完全に分離して、セキュア環境からしか社内ネットワークにアクセスできないようにして、そちら側をインターネットから完全に隔絶しておけば、仮に両方のOSが乗っ取られたとしても、VMware自体が乗っ取られない限りは依然として分離が有効に機能しているので、インターネットに情報がリークすることは原理的になさそうだ。 しかし実際にはこのような分離は完全な防護壁にはなってくれない。たとえばセキュア環境は「なに

    コンピュータセキュリティと様々なサイドチャネル攻撃|Rui Ueyama
  • 狙われるIoT機器、どう守る? 「点検ポイント」まとめたチェックシート登場

    狙われるIoT機器、どう守る? 「点検ポイント」まとめたチェックシート登場:ITの過去から紡ぐIoTセキュリティ(1/2 ページ) 「こんなサイバー攻撃がありました」「こんな脆弱性が発見されたので危険です」――連載でも他のITmedia Newsの記事でも、セキュリティ関連というとどうしてもネガティブな記事に偏りがちです。 これはこれで、リスクをあらかじめ知って備える上では大事なのですが、「あれが危険、これも危険」といった話ばかりだと「じゃあどうしたらいいの?」と感じるのも無理はないでしょう。そこで今回は、インターネットとInternet of Things(IoT)を安全に、適切に利用する際に留意すべきポイントをまとめた2つの文書を紹介したいと思います。 連載:ITの過去から紡ぐIoTセキュリティ 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、

    狙われるIoT機器、どう守る? 「点検ポイント」まとめたチェックシート登場
  • Redirecting to ssl-config.mozilla.org...

    Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…

    y_r
    y_r 2017/09/22
    Mozilla による SSL 設定自動生成
  • Engadget | Technology News & Reviews

    Nintendo Switch 2: Everything we know about the coming release

    Engadget | Technology News & Reviews
  • CentOS7.2 64bit OpenSSLを使用して自己認証局で署名したSSLクライアント証明書を作成 | kakiro-web カキローウェブ

    外部に公開しているWebサイト等でアクセス制限を行いたい場合、ユーザーIDとパスワードの入力による認証や、ファイアウォールを使用してアクセス元のIPアドレスによる制限を行うこともできますが、SSLクライアント証明書を使用することで、特定の証明書を所有する端末からのアクセスのみを許可するように制限することができます。 ここでは、CentOS7.2の標準リポジトリからインストールできるOpenSSL1.0.1eを使用して、自己認証局で署名したSSLクライアント証明書を作成する方法を、以下に示します。 ※当サイトのSSLサーバー証明書の作成に関するページでも、SSLについて記載しています。CentOS7 64bit OpenSSLを使用して秘密鍵、CSRを作成し、自己署名のSSLサーバー証明書を作成のページ、CentOS7 64bit OpenSSLを使用して秘密鍵と自己署名のSSLサーバー証明

    CentOS7.2 64bit OpenSSLを使用して自己認証局で署名したSSLクライアント証明書を作成 | kakiro-web カキローウェブ
  • GoogleのSHA-1のはなし

    5. • その暗号技術がどのぐらい安全かを表す大雑把な指標 • nビットセキュリティは2 𝑛 回攻撃が必要 • 1回あたりの攻撃コストはあまり気にしない • 𝑂 2 𝑛 という表記 セキュリティビット 𝑛 直線 :𝑂(𝑛) 3次関数 : 𝑂(𝑛3 ) 指数関数 : 𝑂(2 𝑛) 𝑂(log 𝑛) 5 / 21 6. • 第二原像計算困難性(弱衝突耐性) • 𝑚1に対して𝐻 𝑚2 = 𝐻 𝑚1 となる𝑚2 ≠ 𝑚1が分からない • 同じじゃなくてもいいから何か一つ見つけるのが困難 • 𝑂(2 𝑛 )回トライ ; nビットセキュリティ • 衝突困難性(強衝突耐性) • 𝐻 𝑚1 = 𝐻(𝑚2)となる𝑚1 ≠ 𝑚2を見つけるのが困難 • 𝑂(2 𝑛/2 )回トライ ; 𝑛/2ビットセキュリティ • 第二原像を見つけるのは単なる衝突より2

    GoogleのSHA-1のはなし
  • スター・ウォーズ:帝国のサイバーセキュリティ問題

    銀河帝国CEO、シーヴ・パルパティーン皇帝は、汚職と内乱にまみれた銀河共和国と独立星系連合をまとめて帝国を成立させました(内乱の大半を画策していたのはダース・シディアスという謎の男であったが、後に、ナブーの元老院議員から元老院最高議長となっていたパルパティーンこそがこの男であったことが判明)。ヤヴィンの戦いの当時、帝国は成立から19年が経過し、銀河系最大の勢力となっていました。 一見したところ、デス・スターの崩壊は、一握りの宇宙の魔術師たちから支援を得た小規模な反乱軍による攻撃の結果に見えます。しかし、ハリウッドのエキスパートたるジョージ・ルーカスが行った徹底的な分析と再現により、指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策がデス・スターの崩壊をもたらしたと証明されました。もちろん、明白な理由の1つには、ストームトルーパーが目も当てられないほど訓練不足だった(射撃技術のお粗末さ

    スター・ウォーズ:帝国のサイバーセキュリティ問題
  • クラウドを支えるこれからの暗号技術

    7. 移動中のデータ(Data in Motion) TLS, IPsec, VPN, ... : 公開鍵暗号 保管データ(Data at Rest) AES, HMAC, ... : 共通鍵暗号、ハッシュ関数 利用中のデータ(Data in Use) あまりない 今回は主にData in Useで使えそうな暗号技術の紹介 データの状態に応じた分類 7/36

    クラウドを支えるこれからの暗号技術
  • Advanced Encryption Standard - Wikipedia

    Attacks have been published that are computationally faster than a full brute-force attack, though none as of 2023 are computationally feasible.[1] For AES-128, the key can be recovered with a computational complexity of 2126.1 using the biclique attack. For biclique attacks on AES-192 and AES-256, the computational complexities of 2189.7 and 2254.4 respectively apply. Related-key attacks can brea

    Advanced Encryption Standard - Wikipedia
  • 自己流のSQLインジェクション対策は危険

    HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(

  • なぜ、Facebookの偽アカウントを認めちゃいけないのか?Facebookアカウントを乗っ取られる可能性があるからだめ! – ATTRIP

    なぜ、Facebookの偽アカウントを認めちゃいけないのか? 理由は、 Facebookアカウントを乗っ取られる可能性があるからです。 3人偽アカウントに友達になっていたらもう狙われています。 この画像は、以前、友だちが引っかかったFacebookの偽アカウントの写真。 最近多いFacebookの偽アカウントは、 ほとんど活動していないはじめたばかりのアカウントで友達申請してくる人が多いですね。 偽アカウントを見破るには、友だち申請のプロフィール画像の検索が有効だとおもいます。 Facebookには、友達のアカウント3つで該当アカウントを再開する方法がある。 Facebook乗っ取り方前提:乗っ取りたいアカウントにダミーアカウント3人で友達申請をして承認してもらう。 そして、乗っ取りたいアカウントをA 乗っ取るためのダミーアカウントをB,C,Dとする。 facebookではパスワードの変更

    なぜ、Facebookの偽アカウントを認めちゃいけないのか?Facebookアカウントを乗っ取られる可能性があるからだめ! – ATTRIP
    y_r
    y_r 2013/09/27
    つまり、Facebook に三人の友達がいれば任意のメールアドレスにパスワード変更メールを送る機能があるのでそれが悪用できる…
  • TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog

    3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com Twitter で TweetDeck Tweetbot for iOS HootSuite iOSのデフォルトアプリ ShootingStar/Pro 等のコンシューマキーが流出して、それを利用したウィルスが猛威を振るってたようです ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました まず、アプリケーションを起動し

    y_r
    y_r 2013/03/24
    こちらは論外なんだが…
  • 「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた

    「UPnPに脆弱性が見つかり、危険だ」というニュースがいろいろなWebサイトに掲載されていますが、例によってまた何言ってるかよく分からない部分が多かったので、調べたことを書いておきます。 目次 1. 概要2. 日語サイトの情報源3. 「libupnpの脆弱性」は「UPnPパケットを使ったバッファオーバフロー」4. 「WANから攻撃可能」というニュースの意味5. 「WANからのSSDPリクエストを受け付ける」ルーターとは?6. 「libupnp」と「SSDPリクエストを受け付けてしまう脆弱性」の関係について7. 「WANからのSSDPを受け取ること」自体の問題8. 何があったからニュースになった?9. 1月29日にあったこと10. 当のニュースは「Rapid7のホワイトペーパー」の公開11. ホワイトペーパーの中身12. じゃぁどうして脆弱性情報が出たのか13. 結論:見つかったのは「脆

    「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた
    y_r
    y_r 2013/01/31
    よくわかるまとめ。libupnp の脆弱性 + UPnP リクエストを外部から受け付けるルータの合わせ技。
  • Category:暗号解読攻撃 - Wikipedia

    カテゴリ「暗号解読攻撃」にあるページ このカテゴリには 36 ページが含まれており、そのうち以下の 36 ページを表示しています。

    y_r
    y_r 2012/12/11
    いろいろな暗号解読法
  • CAPTCHAへの警鐘--スタンフォード大学が開発した解読ツール

    パロアルト発--スタンフォード大学の研究チームから、CAPTCHAに関して悪い知らせがある。CAPTCHAとは、多くのウェブサイトで、ユーザーが当に人間であることを証明するために入力を求められる、あの往々にして判読不可能で常に迷惑なゆがんだ文字列のことだ。 多くのCAPTCHAはあまり機能していない。もっと正確に言うと、研究チームはVisaのAuthorize.netBlizzard、eBay、Wikipediaなど、多くの主要ウェブサイトのCAPTCHAに含まれる厄介な文字や数字を解読する標準的な方法を考案した。 この表は、Decaptchaが各ウェブサイトのボット対策メカニズムの解読にどれだけ成功したかを示している。「Precision」という列は成功率を表している。 提供:Stanford University 同研究チームの解読手法は、マシンビジョンの分野の概念を取り入れている

    CAPTCHAへの警鐘--スタンフォード大学が開発した解読ツール
  • FBIによる「OpenBSD」へのバックドア埋め込み疑惑が浮上

    米連邦捜査局(FBI)がオペレーティングシステム「OpenBSD」に密かにバックドアを仕込んだという疑惑が、コンピュータセキュリティ関連のコミュニティーに波紋を呼んでいる。ソースコードの監査を求める声がある一方で、この告発自体がでっち上げに違いないとの主張も起きているのだ。 この疑惑が浮上したのは、米国時間12月14日に以前政府の業務を請け負っていた人物が公表したメールがきっかけだった。この元請負業者は、FBIに協力し、OpenBSDに「複数のバックドア」を埋め込んだと主張している。OpenBSDは、高度なセキュリティに定評があり、一部の市販製品にも使用されている。 このメールを送ったのは、現在は存在しない企業Network Security Technology(NETSEC)でかつて主任技術者を務めていたGregory Perry氏で、今回情報を公開したのは、FBIとの10年間の秘密保

    FBIによる「OpenBSD」へのバックドア埋め込み疑惑が浮上
    y_r
    y_r 2010/12/17
    む?コードを見ればわかるはずだが...
  • http://www.mdis.co.jp/news/press/2010/0928.html

    y_r
    y_r 2010/09/28
    ???プログラムとデータ部分は別では?