がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

セキュリティ

CSRFとCSSXSSの考察用のmemo

そういえばもう一つ考察しきれないまま放置してたなぁ… 近日着手予定ってことで、参考URIだけmemo http://www.oiwa.jp/~yutaka/tdiary/20060330.html http://tdiary.ishinao.net/20060331.html http://yamagata.int21h.jp/d/?date=20060408#p01 http://baker…

ログ解析というかヘルスチェックというか

セキュリティEXPOに行ってきて 「えんぢょい & えきさいちんぐ!!」 って話は近日まとめるとして。 なんか、いわゆる「ログでサーバのヘルスチェック」系多かった…んだけど、もう少しごりっとしたのが欲しくなったw まぁ例えば「Linux のプロセスが Copy …

組み込んでみようかしらん?

元ネタはこれ 岡田斗司夫さん「プロフィールを改ざんされた」とmixi退会 http://www.itmedia.co.jp/news/articles/0904/02/news094.html 岡田さんが退会直前に更新したmixi日記によると、「mixiのプロフィールが何物かに無断で改ざんされる事態が続き、頻繁…

「僕は嘘をついていません」って…

元ネタ 「現在セキュアな通信をしています」と明示的に表示するインターフェース http://www.simplexsimple.com/archives/2009/03/is_this_page_secure.html えと…「僕嘘ついてません」ってドンファンに言われてる気分?(苦笑 と思ったら。 このサイトについ…

…フィッシング?

元ネタ セキュリティホールmemo http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/03.html#20090318__XSS 経由 セキュリティアナリストコラム 川口洋のセキュリティ・プライベート・アイズ(13) 世間の認識と脅威レベルのギャップ ――XSSは本当に危ない…

うんまぁ脆弱だよねぇ

元ネタはこちら。 ダメ技術部長の話 http://d.hatena.ne.jp/JavaBlack/20090111/p1 「君たちさ〜、ログイン画面でユーザ認証って言うけど、 IDとパスワード知ってたら誰でもログインできるって事だよね? それってどうなの?危険なんじゃないの?」 わ〜っは…

用語の大切さについて

元ネタ 次世代ファイアウォールとはなにか--第2回:そもそもFWとは何かを考える http://japan.zdnet.com/sp/feature/next-firewall-2009/story/0,3800091945,20386619,00.htm いつもいつもいつもいつも思うのですが。 ファイアウォールってのは「概念」であ…

えと…んと…あの…

ちょいと出遅れましたが。 素敵なお話が世間を賑わせております。 http://q.hatena.ne.jp/1225937690 フルブラウザについては、 http://256gears.net/imodeid/ こちらで試してみると、内蔵フルブラウザはIDが表示されました。 一般のフルブラウザでは表示さ…

qmailadmin怖い orz

えとですね。 firefoxでつなげたですよ。 ちとHTML的に移らなくて「ああie専用かなぁ」とか思ったですよ。 ieに、とりあえずURIコピペしたですよ。どうせログインエラーではじかれるからと思って。 …そのままログイン後の画面がie上にレンダリングされてたり…

validateとescapeは違う概念だと思うのだが…

先に。sanitizeについてはなんか定義が色々と怪しいので使いませんw …とかいいつつ少しだけ書くと。 sanitizeって、基本的に「antidote(解毒)」って概念だと思うのですが。 問題は。現実の毒でもそうなのですが「実際の解毒法は毒の種類によって変わる」で…

えと…まぢ?

Google Android携帯にすごいバグ、すべてのテキスト入力をコマンド扱いで実行 http://japanese.engadget.com/2008/11/09/google-android/ Google CodeのAndroidプロジェクトに寄せられたバグリポート Issue 1207によると、G1のファームウェア RC29以下にはす…

「大手さんだから安心」?

元ネタになるべきサイトのURI セキュアな PHP アプリケーションを作成するための 7 つの習慣 http://www.ibm.com/developerworks/jp/opensource/library/os-php-secure-apps/ に対する、身も蓋もない突っ込み二種。 「セキュアなPHPアプリケーションを作成す…

番外編的ネタ

えと…セキュリティともプログラムの作成方法ともオブジェクト指向におけるクラス設計の考え方ともレイヤーの切り方とも言えますが。 女王がいます。 女王は、今日の晩餐会である大臣Aにさんざ嫌みを言われました。 女王はひとりになってから「キーー」と歯ぎ…

入力時無毒化の弊害への考察:別角度から

んと。 一般に「生兵法は怪我の元」とか「半可通」とか色々ありますが。 ぶっちゃけて「中途半端な対応はなにもしないよりもまずい」ケースが多々あります。 完全に「未対応」だと色々と焦燥感も出せるのですが。 「何となく対応してるっぽい」感じだと、「…

入力時無毒化の弊害への考察:予想事例

とまぁざくざく突っ込みましたが。 んと…予想される面倒事をいくつか。 いち 「入力で<>(半角ね)をNGにしました」 「え〜例えば >>(くどいようだけど半角ね) とか使いたいし通せるようにしてよ」 「(なんでNGなのか前任者から引き継いでないしなぁ)わか…

入力時無毒化の弊害への考察:突っ込み

あえて。あえて「サニタイズ」書かずに「入力時無毒化」と書いてみます*1。 先日もまぁドカドカと叩いたのですが、ちと色々と考察を。 元ネタとして、キーワード「入力時 サニタイズ」でググって色々なサイトを見に行ってます。 # つまらん事に「入力時のサ…

「サニタイズじゃなくてエスケープなんだ」と何度言えば…orz

元ネタ列挙。 PHPでのセキュリティ対策についてのメモ http://note.openvista.jp/2008/php-security-memo/#2 XSS対策に入力時エスケープは非常にややこしい http://ukstudio.jp/2008/10/27/xss/ XSSの脆弱性を限りなくなくす方法 http://blog.webcreativepar…

さて難しや…

元ネタ列挙。 http://slashdot.jp/security/08/10/20/0337226.shtml http://slashdot.jp/askslashdot/08/06/27/0414208.shtml http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008 えと。まずこれが「バグなのかどうか」が、正直個人的に…

わかりやすい「契約者固有IDの危険性」

高木先生のブックマーク経由で見たのですが。 http://itpro.nikkeibp.co.jp/article/Keyword/20081007/316269/ http://itpro.nikkeibp.co.jp/article/Keyword/20081007/316269/?SS=imgview&FD=-499245482&ST=keyword なんてわかりやすい!! なにがどう危な…

いくつか雑に突っ込み

色々締め切りに追われてるので orz 雑にざっくりとmemo。 Cookieを使用したSQLインジェクション http://www.lac.co.jp/info/rrics_report/csl20081002.html http://slashdot.jp/security/08/10/06/063250.shtml えと…「エスケープ処理は出口で用途に合わせて…

クリックジャック

ちと詳細を調べる時間がないので、とりあえずmemo程度に。 http://blogs.zdnet.com/security/?p=1973 http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20…

あちこちで突っ込まれてますが…

元ネタ 予告.in、XSS攻撃を受け不正コードを埋め込まれる http://slashdot.jp/security/08/08/04/0418231.shtml うんあのね。 入力データのサニタイズはセキュリティの基礎ではあるが 「出力データの、出力先に沿ったエスケープを使う直前に」が基礎です。 h…

不必要情報の実例とヘッジ例

許可を頂いたのである意味遠慮無くw EC-CUBEというソフトがあります。今回の実例です。 http://www.ec-cube.net/ そうですねぇ…installして、ってのが真っ当なのでそっちで行ってみていただきたいのですが。まぁ適宜、環境などご用意くださいませ。 間違っ…

惨劇四種orz

元ネタ セキュリティのずさんな実態 http://itpro.nikkeibp.co.jp/article/COLUMN/20080307/295672/ とりあえず セキュリティのリスクがかつてないほど高まっている。なのに,セキュリティの現場の実態はひどいものだ。そのような状況を生んだ原因はいったい…

なんか違和感が…

元ネタ Cookieを利用したセッション維持(Sticky)の問題点 http://itpro.nikkeibp.co.jp/article/Watcher/20080728/311618/ 直近に違和感を感じたのは、この文章。 IE(Internet Explorer)のCookieサイズはおおよそ4〜5kbyteなようです(他のWEBブラウザーもほ…

寒すぎる携帯系Webサイトの現実

まぁとりあえず何はともあれ、高木先生の 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者 http://takagi-hiromitsu.jp/diary/20080727.html#p01 ご覧いただければ終わるっちゃぁ終わるのですが。或いはすでに終わってる現状がよ…

えといわゆる phpspotメソッド ですか?

元ネタは http://d.hatena.ne.jp/gallu/20080702/p2 あたりから。 んと。今し方伺ったら。なんかこんな文章が入り込んでた。修正日不明(だって書いてないんだもん)。 ※ 本サンプルはFlexigridの使用法を示すことに主眼を置いたものであり、セキュリティの観…

なぜこうもレビューされてないコードを記事に書く?

元ネタは わずか数行で"ものすごいテーブル"に! - jQueryプラグイン「Flexigrid」 http://journal.mycom.co.jp/articles/2008/06/25/flexigrid/menu.html の三番目のPageである 動作サンプル - JSON+Ajaxでソートなどを可能にしたテーブルリスト http://jour…

「出来る」と「適切である」の間にある深い乖離の一例

元ネタはこちら。 特定の外部サイト(ページ)の閲覧履歴がJavaScriptで取得できてしまう件 http://www.kenjiroumatsushita.com/archives/97.html JavaScript/DOMを使うと、ユーザーが過去に特定の外部サイト(ページ)を訪問しているかいないかを、簡単に調…

しょっぱい話だなぁヲイ…

さくっとシンプルに。 セキュリティ企業のWebサイトにXSSの脆弱性、XSSedが調査結果を公表 http://www.itmedia.co.jp/news/articles/0806/13/news024.html 大手セキュリティ企業のWebサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在するとして…