んっと。Cross Site Request Forgeries ってのがあるです。 「ど〜やってガードするか」の理論構築をしてみた………のはいいのですが、どうももう一つ自信に欠ける。 という訳で。Blogに書いたらあるいはどなたかが突っ込みなどしてくださるのではないか、とい…

某サイト様の、mail formのHTMLより。 <input type="hidden" name="_ADM_SEND_MAIL_" value="1"> <input type="hidden" name="title_color" value="#0045cf"> <input type="hidden" name="bgcolor" value="#ffffff"> <input type="hidden" name="itemstr_color" value="#f51f8a">

PHP界では多分めっさ有名な、大垣 靖男氏のBlog ( http://blog.ohgaki.net/index.php/yohgaki/ ) からのお話。 http://blog.ohgaki.net/index.php/yohgaki/2006/11/07/php_5_1_xc_ua_ra_ra_sa_ya_oa_a_pa_a_a PHP 5.1/4.4用のセキュリティパッチPHP 5.2.0が…

んっと。セキュリティホール memoさん経由、Okumura's Blogさん経由、手嶋屋 - 社長Blog 行き。 URL的には http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2006/10.html#20061013_mixi http://oku.edu.mie-u.ac.jp/~okumura/blog/node/1082 http://shiro…

んっと。ちと下の子と話ししてたりして「そういえば書いてないなぁ」と思いつらつらと。 例えば、労働災害の経験則でハインリッヒの法則ってのがあるです。そこから派生すると、ヒヤリハットとかバードの法則とかタイ-ピアソンの結果とかってのが出てきます…

とりあえず http://itpro.nikkeibp.co.jp/article/NEWS/20061010/250189/ をご覧くださいませませな。 タイトルからしてステキでございます。 【Black Hat Japan 2006】JavaScriptでイントラネット内の機器をハッキングするデモを紹介 イカスでしょ？ ビビッ…

ハーディングと読みます。 http://www.hardened-php.net/ 間違っても「ハーディングの綴り覚えられないからハーディングってカタカナで検索できるように」とかいう意図ではないですから勘違いしないようにいいですね皆様(笑 おいといて。 PHPやるならデフォ…

さてはて。こーゆー流れでハッシュってのは現在に至っているようです。 で…使われ方でハッシュ関数への配慮が変わるのは当然なのですが、ちぃとまとめて見ましょう。 ハッシュ法(ハッシュ検索)として用いる場合。 衝突することは概ね前提なので、如何に「均…

さてはて。ハッシュ法からどういう経緯でココにたどり着いたかがもう一つ不明なのですが。 恐らくは 良質で比較的ハッシュ空間の広いハッシュ関数だと、なかなか衝突がおきない(アルゴリズムの慎重な選定) 本質的に一方向な性質を持つために逆算が出来ない(…

あるひのこと。とあるサイトにあそびにいきました。 そのとあるサイトはちょっとしたあくいがかくされていて、そこではえいじゃっくすがぼくのPCにキーロガーとスパイウェアを仕込んでくれました。 それからというもの、ぼくのすべてのきーにゅうりょくはも…

んっと………いやまぁXSS関連でちぃと調べ物＆書き物してたです。 JavaScript実行できるよねぇAjaxってあるよねぇ…………………………え？ 寒い。寒すぎる。 ブリザードよりもブリザガIVよりもladaltoよりもマヒャドよりもテスタメント(絶対冷凍破)よりも真冬の北極より…

「セキュリティ甘々なサイトって、鉄筋抜いてるビルと一緒だよねぇ」 ………耳も頭も痛い(泣

どうぞ何もおっしゃらずにこちらをご覧くださいませませ。 http://www.vector.co.jp/soft/unix/util/se365582.html Anti-WMAC MD5BRUTE MD5ハッシュをブルースフォース方式でクラックMD5で暗号可されたハッシュをブルースフォース方式で元の文字を見つけだし…

えっと…先に平謝りしておきます。 遅くなってごめんなさい。 とりあえず流れ的には http://d.hatena.ne.jp/gallu/20060303/p1 http://d.hatena.ne.jp/gallu/20060327/p1 http://d.hatena.ne.jp/NAL-6295/20060412/p1 http://blogs.wankuma.com/jitta/archive…

んっと。最近また散見されるモノへの言及です。 いわゆる「パスワードリマインダ」というものがあるかと思うのですが。個人的にアレに対してはかなり懐疑的…というか、ぶっちゃけ「蛇足なだけ」だと思っております。 とりあえずその後の挙動から２パターンに…

先に書いときます。この文章は「BASIC認証って果たしていかがなものでしょうか」っていうスタンスです(苦笑 まず何はさておき「BASIC認証」について正しく把握しておきましょう。 BASIC認証(Basic Authentication)は、wiki ( http://ja.wikipedia.org/wiki/B…

なんかゲームかアニメのようなタイトルにしてみましたが。んっと…状況が見えない(苦笑 いや、発端は http://slashdot.jp/comments.pl?sid=309361&threshold=-1&mode=thread&commentsort=3&op_change=%E5%A4%89%E6%9B%B4 のURL付近をご覧頂きたいのですが。 …

昨今「MD5やばいよねぇ」的な話とかいろいろと出ておりまするが。 とりあえず「さっくりと変更させる手法」草案をのっけてみます。 …草案なんで、まだ全然洗練されてませんが。多分とりあえずこれである程度なんとかなるんじゃないかなぁと。 ってなわけで、…

Winny関連のお話でふ。 最近いい加減耳に酢だこが出来るくらいかしましいWinny関連のお話ですが。今常駐している会社さんもそんな感じで文書回ってきました。 …のはいいんですがね。 要約すると「ファイル共有ソフトをインストールするな」と。…なんか違くな…

いま所属してるっていうか伺ってる会社さんが取るってことで、研修その他やってきました。 なんていうか…個人的には「漏洩した時に言い訳できるように」程度の、まさにお飾り感満載な感じしかしなかったのですがどんなもんなんでしょうね？ 例えば端的に一つ…

んっと…ちょっとまぁ色々とありまして。…別項でSIerとの確執とか書いてみたいものなのですが(苦笑 いずれにしても、品質の良さとセキュリティの高さの追求ってのは大切かなぁと。 「品質の良さ」ってのはまた難しくて、一歩間違えると「独りよがり」になりか…

んっと。割合に良くある作りなのですが。 ・パスワードを忘れたらメールアドレスを入力するとそこにパスワードが届く ポピュラーな機能のわりに、突っ込みどころ満載です。 死んでもやっちゃいけない例 ・メールアドレスの入力がミスってたら「違うよ」って…

んっと。会員制のサイトであれば、大抵の場合はDB(ないしテキストファイル)で、ユーザIDとパスワードを持つと思うのですが。 これを「どうやってもつか」への考察。 ………困ったことに「これだ」と思えるものがありません(苦笑 通常、MD5などの「一方向ハッシ…

こぉ、まぁ色々あって「とある企業さんにご連絡を差し上げたい」ケースとかってぇのがあるんですが。具体的には、セキュリティホールとかセキュリティホールとか。 一番うれしいのは「わかりやすいところにメールアドレス」。知っている限り、割合に真っ当な…

んっと。 http://internet.watch.impress.co.jp/cda/news/2006/02/28/11055.html に面白い記事が載っていたのでちぃと。 スパムメールの採算ベースは返信率が0.001％ 高倉氏によれば、スパムメールは返信率が0.001％を超えれば採算に合うため、コストがかか…

直接的には「あなたと同僚の“すき間”がシステム障害の温床に( http://itpro.nikkeibp.co.jp/article/OPINION/20060222/230345/ )」というIT Proさんの記事が元なのですが。 ちっと昔の話を思い出してみたり。 昔々。ホテルのフロントマンをやっている時期が…

んっと。Jittaさんのブログ 何となく Blog by Jitta( http://blogs.wankuma.com/jitta/ )のコメントへの反応とかいう非常にピンポイントな反応なのですが。 そのコメントはここ。http://blogs.wankuma.com/jitta/archive/2006/01/05/20413.aspx#21192 で、反…

まぁ予想はしてましたし予測されて然るべきなのですが、現実に登場したとなるとインパクトが一段階あがるかなぁと。 「正規の証明書を持っているサイトも信用するな」，フィッシング研究者が警告( http://itpro.nikkeibp.co.jp/article/NEWS/20060210/229014…

んっと。先日書いたお話…おもったよりもあちこちで火の手が上がっております(苦笑 まぁ興味ありありのネタなので、色々と。 …微妙にBlogの趣旨からずれますが、まぁ頑張って沿うようにしてみます。 まず、高木先生の記述。しばらく日記をちゃんと書けそうに…

んっと。最近騒がれているサニタイズ周りのお話なのですが。 実は私は「データは汚染されっぱなし」派です。…って書くと海よりも山よりも大きな誤解を生みそうですが :-P 一般にサニタイズって言っても、実際には「対DB向け」と「対HTML出力向け」では異なっ…