このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
ハッキング Wiki † ハッキングの関連のあれこれについてまとめてみようと思っているwikiです。悪いことには使わないでください(たぶん使えないと思いますが)。 内容は少しずつ充実させていきたいと思っていますが、wikiの使い方はあまりわかっていないので事故で消えるかもしれません。 硬いので文体を「ですます」にしようと思います。 誰も編集しないので編集できないように戻しました。編集したい人はyamamoto at bogus.jp宛にメールするか、blogにでも書き込むか、電話でもしてください。。 ↑
「svchost.exe」はウインドウズを動作させる上で重要なプロセスで、複数起動しているのが普通の状態。だが、それをよいことに同じプロセス名で動作するウィルスも多数存在する。そこで、「Svchost Process Analyzer」を使ってsvchost.exeが管理するサービスを一覧を表示してみよう。それぞれのサービスの解説も表示されるため、怪しいものが動作していないかすぐに確認できるぞ。 ちなみに、このソフトはインストールも不要で、ダウンロードファイルを起動すれば即使えるというお手軽な仕様になっている。OSの挙動がおかしいときに使うといいだろう。 「Svchost Process Analyzer」を起動するとプロセスのスキャンが始まる スキャンが終わったら「Details」をクリックしよう svchost.exeが管理しているサービス一覧と解説が表示される
今日、某銀行で「引き出し中の画面で、キャッシュローンの広告出すな! しかも『ご案内しますか』で『いいえ』か『はい』を選択しないと先に進めないタイプの! 鬱陶しいわ!」とか思いながらATMの操作をしていたわけですが、ふと前を見てみると、暗証番号の設定の注意みたいなことが書いてありました。それは、類推できる暗証番号だとカードを盗まれて引き出される恐れがあるから、わかりにくい番号にしておけというタイプのもの。 たしかに財布ごとキャッシュカードを盗まれ、その中の免許に書かれている暗証番号を入力され、金を引き出されるということがけっこうあるようです。もっとやっかいなのは身内や知り合いで、そういう人に盗難された場合、暗証番号(誕生日)などのデータが判明しているので、引き出しも安易にされてしまう場合もあります。それで「誕生日などとは関係ないものに」と銀行も呼びかけているのですが、くくりつけられる数字でな
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策
100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker) 【この記事は、2006年7月5日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 安全で記憶しやすいパスワードを設定すれば、自分は簡単に思い出せて、他人には推測されにくい。 →ほかのLifeHack(ライフハック)関連の記事はこちら 最近は、至るところでパスワードの登録を求められる。何十ものサイトでログインの際に入力を求められるパスワード。ATMで必要なキャッシュカード暗証番号。ワイヤレスネットワークにログインするためのパスワード。皆さんは、どのように新しいパスワードを設定しているのだろう? いや、もっと重要なこととして、どのように記憶しているだろうか。 「すべてに同じパスワード」はダメ すべてに同じ1つのパスワードを使うやり方の問題点
いわゆるCGIプロキシとかPHPプロキシを一気に探し出す方法です。既存のこういうプロキシサイトをリスト化しているサイトよりも優れている点は、常にGoogleのほこるGoogleボットが世界中のページを駆けめぐって常に新鮮なプロキシを探してくれるということ。 探索方法は簡単、「include form」「remove scripts」「accept cookies」「show images」という各フレーズを含むサイトを検索結果で出すだけ。 やり方の詳細は以下の通り。 I-Hacked.com Taking Advantage Of Technology - How to Find 100,000+ Web Proxies and the State of Internet Censorship in the U.S. 検索は次のようになります。このリンクをお気に入りに入れるかブックマークし
133.242.243.6 (133.242.243.6) 判定:プロクシです proxy判定箇所が 1箇所、 疑惑点が 1箇所ありました。 漏れ判定:漏れてはいないようです 総合評価:A 極めて物静かなproxyです。proxy経由であることを示す情報がほとんどありません。
世界最高品質のプロキシリストを提供するプロキシ専門サーチエンジン You can find active, fast and anonymous proxy servers here!
ZoneAlarm (ZoneLabs) 個人使用なら無償のPersonal Firewallで最も利用者の多いZonelabsのZoneAlarmを紹介しよう。旧バージョンのドキュメントはこちらに残しておく。旧VerではあるがVer3と重なる内容も多いのでぜひ目を通していただきたい。今回は3.7というバージョンについて説明を行う。有償のPro版はVer4が既にリリースされているが2003年10月現在ではFree版はVer3.7が最新である Free版の4.5がリリースされたので変更箇所のみ追加した。基本機能や画面構成に大きな変更はない。 ・インストール まず、ここからセットアップモジュールをDownloadする。インストールを開始すると左のように上から名前、使用する部署名か会社名、メールアドレスを聞いてくるのでそれぞれを入力する。会社名は入力を省略しても良い。また下の2つのチェッ
PHPで使えるCAPTCHA画像作成ライブラリはいろいろあって分かりにくいので以下にまとめてみました。 最近ではスパムが多すぎて、掲示板等へのCAPTCHA実装は必須のように思えます^^; CAPTCHA (GPLライセンス) サンプル利用方法 1. パッケージダウンロード 2. パッケージ解凍後、同じディレクトリにフォント(*.ttf)ファイルを設置 3. captcha.class.php を開く (2)で配置したフォントのファイル名を変数に設定 $this->Font = './〜.ttf'; 4. example.php にアクセス CAPTCHA 2 (GPLライセンス) サンプル利用方法 1. パッケージダウンロード 2. パッケージ解凍後、同じディレクトリにフォント(*.ttf)ファイルを設置 3. captcha.class.php を開く (2)で配置したフォントのファイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く