がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

セキュリティ

「そうだパスワードの持ち方、変えよう」

色々あっていろいろあったのに触発されました(笑 いや昔実際に実務で実装したこともあったんで、その辺を踏まえて。 大前提として ・ログインロジックに介入できる ・ユーザの「最終ログイン時間」が捕捉できる(ケースによる) が必要になりますんでご注意を…

パスワード文字数の超おおざっぱな最小長の計算

ふと軽く気になったので、おおざっぱに。 前提として「パスワード 定期的 変更」というキーワードがありまして。 個人的にパスワードの最適変更間隔とその定量的効果の評価 https://docs.google.com/document/d/1RWDerFjLc24nr_lDhF8s0vEOJ8DPKhEnEAYG9qr_oB…

password_hashをどうやって使おうか?(04/15修正)

なんか最近「パスワード、いくつかの単語を組み合わせた長い文字列のほうが安全だよねぇ」的なお話が云々。 それを考えた時、今まで割と気にならなかった「警告 PASSWORD_BCRYPT をアルゴリズムに指定すると、 password が最大 72 文字までに切り詰められま…

軽めネタ2種

ちょいと前に、twitterで軽くアンケートをさせていただいていたのをすっかりとまとめ損ねていたので。ふとした疑問。 ECサイト(色々あると思うのでお好みのECサイト)にて。「買い物カゴに商品を入れる」アクションでCSRF対策は必要でしょうか? 主観バリバリ…

どうすっかねぇ(ユニットテスト変)

いくつも起因するお話はあるのですが、例えば最近おきたおもころいあたりだと、この辺(から、少し発展させた流れ)。 https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf P16 通常、コードレビューは、 コーディングを担当していないメンバ…

「後で」っていつだろう?

ものすごく直近としては、teratailでの、とある質問(複数)&他の人の回答を見たあたりで ・セキュリティ的にシャレにならんもんが書いてある ・一瞬、突っ込もうか悩む ・「否定的な返答の可能性」が脳裏に横切って、面倒なんで放置 ってのを大体脳内で1秒く…

保全用

些か興味深いものがあったのですが、ちぃと魚拓の取りにくい感じなつくりになっていたので。 せめて「テキスト文書だけでも」と思い、保全。 ここの作り的に「改行が1つだと表示的に改行にならない」ので、改行文字だけちぃと増やしました。 具体的には s/\…

validateについて

頂戴したデータがvalidなのかをvalidationするvalidatorの、どっちかってぇと「理屈」部分を、少し整理してみましょう的な備忘録。 実用一点張りなのと、とりあえず「PHPメイン」で書きますんで、適宜、他言語な方々におかれましては応用したりかみ砕いたり…

bashのインストールメモ

超絶ただのメモw 普段なら手元において終わり、なんだけど、もしかしたら参考にする人が、全世界で一人くらいはいるかもかなぁ、と思ったのでw 先に。 お手元のbashのバージョンを確認しておきませう。 bash --version もしこれで4.3.0よりも「古い」んな…

UUIDv4の(多分)一番雑な作り方

色々考えたり調べたり悩んだりしていたのですが。 uuidgenっていうコマンドラインユーティリティあるんですねぇ知りませんでした(苦笑 http://linuxjm.sourceforge.jp/html/e2fsprogs/man1/uuidgen.1.html uuidgen - UUID 値を生成するコマンドラインユーテ…

管理画面のインジェクションは無問題?

いや、たまたまそーゆー論調をちらりと拝見したので。 結論から書くと「管理画面の脆弱性だから、インジェクションがあっても特に問題が無い」は短視野的にはYesだけど現実的にはNo。 前提として「そのインジェクションによるデータのぶっ込みは、別の画面で…

「冗長な言葉で」Webアプリケーションセキュリティの一部を書いてみる

ん…年末の、escapeとかvalidateとかsanitizeとかprepared-statementとかの一連のお話をみて、ちょうど良い機会なので「自分なりに」かみ砕いたものを書いてみようかなぁ、っと。 単純に「自分の中で整理したい」のに糅てて加えて「間違いがあったらきっと突…

プリペアドステートメントとエスケープの線引き おいちゃん変

微妙にあちこち賑わっている気がしたので、なんか必要になる前に、おいちゃんの見解を。 まず前提として「適切にもちいられていない」ケースは排除。 具体的には「**をやる、というルールを作っても、守られない/中途半端なら意味がない」ってのはどこにい…

MACアドレスでの認証があずましくない理由

UDIDの話は先日書いたわけなのですが( http://d.hatena.ne.jp/gallu/20130415/p1 )。 そうすると次は「んぢゃMACアドレス」という話が耳に入りまして。 ってなわけで第二弾「MACアドレスでの認証やめれ」をお送りいたします(拍手@サクラの群れ)。 先に結論…

UDIDの話の軽いまとめ

ちょいと今日話が出ていたので、多分今後も「出るだろうなぁ」との予想込みで、Blogに。 (余談。タグに「プライバシ」とか追加しようかしらん? どう思います?) ん…直接的には、あぽー様がすでに「おら受けトンねぇ」宣言をなさってるでごわす。 ちなみにそ…

CSRF実装の一案

注意 結構「状況限定」なので、本当に「一案」程度。 前提 セッションIDが定期的に変わる。だから「セッションIDをtokenに」しにくい。 一案 「消すのが面倒くさければmemcachedにすればいいぢゃない」作戦 CSRFで引っ掛けたい画面を「画面A → 画面B」の遷移…

覆水は盆に返せるのか?

発端はまぁまた色々あるのですが、他でも出てくる切り口で「非常に気になる」話があったので。 前提として http://takagi-hiromitsu.jp/diary/20120504.html を読んでおいてもらえたりすると、色々と話がスムーズな気がいたします。 とりあえず直接的な考察…

ポチ袋なり、風呂敷なり

モノを差し上げるにしてもお金を差し上げるにしても。 そのまんま渡すメンタリティーは、多分、日本にはあまりないと思ってます。 心付を渡すならポチ袋に入れるでしょうし、お歳暮お中元は、きちんと風呂敷につつんでもつものです。 風呂敷にしても、包み方…

相変わらず哲学が壊されているなぁ、と

大変に不勉強な話ではあるのですが。 https://twitter.com/#!/bulkneets/status/172248250999508993 例えばCakePHPという著名なPHPのWebアプリケーションフレームワークは、デフォルトでコピペのP3Pコンパクトポリシーを出力します。このポリシーがCakePHPで…

DoS回避用の max_input_vars が出てきました

攻撃付近については http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html PHP, Tomcat などを利用して開発されたウェブアプリケーションにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2011-4885等) ウェブアプリケーション等で使用されている言語 (P…

静的プリペアドステートメントが「原理的に安全」な理由 後編っていうか本編

後半です。 …「完了編」まで引き伸ばさないように頑張っていきたい所存でございます (`◇´)ゞ 前回のは http://d.hatena.ne.jp/gallu/20111128/p1 をご覧ください。 さて。 まずは「ふつ〜にエスケープされた場合」に、SQL-Injectionが「発生しない」真っ当…

静的プリペアドステートメントが「原理的に安全」な理由

ものっそ大雑把に説明をしていきます。 「わかりやすさ」中心なので、「現在(ここほんの40〜50年くらい)の素晴らしい技術(アルゴリズム考え方アーキテクチャその他)」には大分と背を向けている可能性がありますのでご注意ください B-p 真面目にSQLのパースあ…

XSSはソースコードのリトマス試験紙

いやまぁ何カ所かで偶然「ほぼ同じ話」をしていたので、ちと自分の脳内整理を兼ねて。 一言で結論を書くと「ようは割れ窓理論」って話です。 とりあえず、お題は「XSSは非常にまずい」と。 その辺の「おいちゃん的思考」を、だらりんこんと書いていきたいと…

パスワードの「hash化」の変わりに「暗号化」は使えないかなぁ?

先に結論。「面倒くさい」と思われます(笑 以下、思考過程を。 ものすごく大まかには「id + デリミタ + パスワード、の文字列を公開鍵暗号によって暗号化 & 秘密鍵は[完全に削除する | まったく物理的にも別な場所に保存しておく]」。 基本的には「id + デ…

技術メモ:認証変

認証系を作り直しているので、備忘録兼ねて。 とりあえず ・パスワードの持ち方を変えつつ ・セッションIDにmcryptを使わないように してみやう。…いやmcryptは捨てがたいのだが(苦笑)、オプションとして。 ・パスワードの持ち方 以前はsha1でハッシュしてい…

NTT研究所の「素因数分解問題」をうけて

暗号強度の一つの根拠である「素因数分解問題」で、いやんなニュースが出回りました。 まぁ、冷静に考えてこのあたり「いつか出る"可能性"」は、いつも想定していないといかんわけで。 基本的には ・ある程度細かい周期で定期的に鍵を入れ替える ・ある程度…

勘弁してくれ orz

JavaScriptからローカルファイルシステムへのアクセスを可能にするFile API、標準化へ一http://slashdot.jp/it/09/11/27/0545257.shtml 大惨事が起きるであろうことは、予想がつく。「どれくらい惨い」状況になるかが、想像できませぬ orz

追記

http://d.hatena.ne.jp/Kimura/20090727/p1 2009/07/24付けで以下のIPアドレスが削除された。 えと……………恐れていた事が!! ( (;゚Д゚) ) ガクガクブルブル 完璧に「崩壊の序曲」来てるなぁ………

大切なお話し

注意:文章は「最後まで」読みましょう。 元ネタはこちら。 ■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 http://takagi-hiromitsu.jp/diary/20090802.html#p01 なんていいましょうか…まったく高木先生は理解しておりません。 まず…

「PHPで作る携帯サイト」ではどうやってセッション管理をすべきか

なんかご大層なタイトルにしてみましたが。 元ネタはこちらです。 携帯電話向けWebアプリのセッション管理はどうなっているか http://d.hatena.ne.jp/ockeghem/20090714/p1 ちなみに、会話対象になっているのは、この書籍PHP×携帯サイト 実践アプリケーショ…