研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
クライアントとサーバの間でWebを介してやりとりするデータの暗号化に使われるTLS/SSLプロトコルに脆弱性が発見され、この問題に対処したオープンソースツールキット「OpenSSL」の更新版がリリースされた。 SANS Internet Storm CenterやUS-CERTによると、TLS/SSLの再ネゴシエーションの過程に中間者攻撃の脆弱性が存在する。この問題を悪用された場合、攻撃者が通信に介入してテキストを仕込むことができてしまう可能性があるという。 この脆弱性を突いたエクスプロイトも公開されたが、US-CERTは11月6日の時点で、実際に脆弱性が悪用されたとの情報は入っていないとしている。 この問題に対処した更新版の「OpenSSL 0.9.8l」は、脆弱性を修正したわけではなく、脆弱性があったTLS/SSLの再ネゴシエーションを、単純にデフォルトのパッケージから削除したもののよ
今回の方法は昨年11月に発表された「Tews-Beck攻撃」(WEPのTKIPにおいて辞書攻撃ではなくプロトコルの不備をつくことによって、15分前後かかるが、鍵の一部を確定的に導出できる方法)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。 このWPAについての実践的な攻撃方法は8月7日に「A Practical Message Falsification Attack on WPA」という題目で、台湾にて開催される国際会議 JWIS2009(Joint Workshop on Information Security )にて大東俊博氏(広島大学 情報メディア教育研究センター)と森井昌克氏(神戸大学大学院 工学研究科)によって発表される予定となっています。 詳細は以下から。 Jo
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月16日、Nginxウェブサーバにバッファアンダーランの脆弱性が存在すると公表した。 Nginxは、さまざまなプラットフォーム向けに提供されているHTTPサーバおよびメールプロキシサーバ。Nginxの0.1.0から0.5.37まで、および0.6.39以前、0.7.62以前、0.8.15以前のバージョンでは、ngx_http_parse_complex_uri() 関数に問題があり、細工されたURIを処理する際にバッファアンダーランが発生する可能性がある。 Nginxは特権を持ったマス
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
こんにちは。木村です。 今回はRuby On Rails Security Guideの訳 : 2.Sessions 2.1 - 2.3の続きです。 今回は2 Sessionsの2.5 Session Storageまでです。 原文の単語と全く違う言葉に置きかえている場合も多々あります。原文ページと併せて、ご覧下さい。気になる箇所や間違っている箇所があれば、どうかご指摘下さい。 では、以下訳です。 2.4 セッション・ガイドライン - セッションに関する一般的なガイドラインは以下の通りです。 セッションに大きなオブジェクトを保存しない。かわりに、データベースにオブジェクトを保存して、そのIDをセッションに保存するべきです。こうすることで、オブジェクトの同期をとらなければならない頭痛の種が解消され、セッションのストレージスペースがいっぱいになることもないでしょう(セッションのストレージに
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
There is a weakness in the code Ruby on Rails uses to verify message digests in the cookie store. Because it uses a non-constant time algorithm to verify the signatures an attacker may be able to determine when a forged signature is partially correct. By repeating this process they may be able to successfully forge a digest. Versions Affected: 2.1.0 and *all* subsequent versions. Fixed Versions: 2
脆弱性がAppleに報告されてから6週間放置されていたそうですがセミナーで攻撃のデモが行われたので慌ててリリース、という感じでしょうか。全ユーザがすぐアップデートすることをお勧めします。 http://journal.mycom.co.jp/news/2009/08/01/006/ Apple「iPhone OS 3.0.1」リリース、SMSの深刻な脆弱性を修正 バージョン3.0.1ではSMS処理の深刻な脆弱性が修復された。米ラスベガスで開催されていたBlack Hat USA 2009で現地時間の7月30日に、SMS経由でiPhoneを含む多機能携帯電話やスマートフォンを攻撃するテクニックが公開された。同講演でiPhoneをターゲットとした攻撃の実演が行われ、またユーザーの端末が乗っ取られる可能性が指摘されたことからセキュリティアップデートの提供が待たれていた。新バージョンでは、悪意のあ
うはー。iPhoneにがんがんSMSを送りつけることで乗っ取る手法が公開され「iPhoneの電源をオフにするしか対策がない」らしいです。メモリのバッファオーバフローを利用しているので電源オフ(というか再起動)すればメモリがきれいに戻る、ということかな。 http://journal.mycom.co.jp/news/2009/07/31/012/index.html iPhoneを乗っ取る"SMS攻撃"、Black Hat USAで公開 講演ではiPhoneをターゲットにした攻撃デモが披露された。攻撃者はターゲットに数百規模のSMSコントロールメッセージを送ってiPhoneをクラッシュさせる。その後、攻撃者による不正なコードがiPhoneのメモリーに送り込まれると端末が乗っ取られ、個人情報が盗まれたり、不正なメッセージ送信や攻撃の拡大などに利用される可能性があるという。 このSMS攻撃はタ
「Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される(972890)」脆弱性を利用したゼロデイ攻撃が発生しているようだ。これは5月末に出た「Microsoft DirectShowの脆弱性により、リモートでコードが実行される(971778)」脆弱性とは別であることに注意(ITmediaの記事、セキュリティホールmemoの該当エントリ)。 クライアント側の対策としてはIEを使用しない、もしくはVideo ActiveXコントロールを無効にする「Fix itによる回避策の実行」を行うなどがあげられる。 国内では VALUE DOMAIN のログインページ改ざんが確認されたようだ。またVALUE DOMAINを使用しているwikiwik.jp内でもサイトの改ざんがあり、各wikiを閲覧したユーザーに被害が広がった模様。wikiwiki.jp、V
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
はじめに † iptablesを利用した、ファイヤーウォール(ファイアーウォール?)の設定について。 Ubuntu 8.04から ufw という簡易Firewall設定機能が搭載されたようです。 (結局はiptablesのラッパーのようですが) 今ならufwで設定してもよいかもしれません。 →ufwでのページも作ってみます しかし、iptablesはいろいろな環境で使えるので、憶えておいて損はないです。 ufwについては、公式マニュアルを参照のこと→UbuntuFirewall - Ubuntu Wiki 動作確認環境は、 Ubuntu 8.04 LTS server i386 です。 ↑ ここでの指針 † 外から来るのはふさぐ 内側から通信はOK 外から通信のうち必要なものだけ(サーバー周り)はあける セッションが確立されたものは通す(=内側から始まった通信は外からも通す) シェルスクリ
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
このプラグインができること ERBテンプレートで、<%= ar.hoge %>など、DBや入力パラメータ由来の文字に対して、サニタイズを忘れていたときに例外を出してくれる ちょー簡単な使い方 公式ページ Safe ERB in Ruby on Rails 日本語解説ページ ないねぇ。を、Ruby札幌の資料があったか。 外国語解説ページ SafeErb for Rails 2 のうはう 例外を出すかどうかはtaintという機能(? フラグ?)を使っている DBや入力パラメータ由来の文字はtaint状態になっていて、手動でコレを解除するにはstring.untaintとすればよい SafeERBプラグインではERB::Util#h(<%=h ar.hoge %>みたいなやつ)とActionView::Helpers::TextHelper#strip_tags(<%= ar.hoge.stri
Ruby Sapporo Night vol. 6 概要 日時: 2008 年 5 月 21 日 (水) 19:00〜20:00 場所: Apple Store Sapporo 〒060-0061 北海道札幌市中央区南一条西3-8-20(札幌駅前通り三越札幌店の隣り) 内容: Mac OS X Leopard とも親和性の高い Ruby によるプログラミングの魅力について、Mac OS X Leopard とも親和性の高い Ruby によるプログラミングの魅力について、最新トピックの紹介やデモなどを交えながらご紹介します。 参加費: 無料 参加登録: 特に必要ありません。お気軽にご参加ください。 発表資料 About Us 札幌にて Ruby に関する活動を行っているコミュニティです。Ruby勉強会@札幌 や 開発集会@札幌、Ruby Sapporo Night などのイベントを定期的
URLにユーザ名、パスワードを埋め込むことのセキュリティリスクはブラウザの問題 rfc1738で定められているように、 (scheme):(scheme-specific-part)//(user):(password)@(host):(port)/(url-path) という形で、URLにユーザ名とパスワードを記述してリソースにアクセスすることができる。暗号化通信のプロトコルであるhttpsにおいてもURL自体は暗号化されないので、このユーザ名とパスワードが漏洩する危険性が心配されると考えたが杞憂であった。 上記の機能はブラウザ側の実装によって実現されており、実際にhttpリクエストは下記のような流れになっている。 GET /cgi-bin/mllist/jsai-ann/index.cgi/html:6115 HTTP/1.1 Host: mlwww.iijnet.or.jp User
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く