security

#librahackに関するメモ

背景についてはTwitterで#librahackで検索するか、高木さんのtweetなどを参照のこと。以下、おもいついたことを徒然にメモ。

iPadやiPhoneのアプリに関する素朴な疑問

このエントリは、はてなの下書き画面が変わったので、投稿のテストみたいなものです。以下、完全与太話なので、読み飛ばしプリーズ

CouchDBにTiming Attack Vulnerabilityだそうで

[SECURITY] CVE-2008-2370: Apache CouchDB Timing Attack Vulnerability参照のこと 対象となるバージョンは0.8.0から0.10.1 アタックの詳細についてはA Lesson In Timing Attacks (or, Don’t use MessageDigest.isEquals) | codahale.com参照らしいです。(…

Cloud(SaaS)に任せられる仕事とは何か(修正、追記あり)

信頼できない相手に仕事を任せられるのか?について、以下、思いついたことをならべてみた。思いつきが拡散していったら、追記するかもしれない。望み薄だけど。(2009/6/30追記:Gentry暗号の件で検索で来られた方には、Gentry暗号の簡単な解説 - 186 @ hate…

RequestPolicyを使い始めた

高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にしたを読んで、NoScriptの代替になるかもしれんと思ったため。 いきなりはてダの編集画面が使いづらくなってしまったが、、、 (追記:下記のように、一度画面を閉じて、あらためて表示する…

IETFでOAuthのWorking Groupの趣意書が固まったらしい。へぇえ

それが何を意味するか、自分にはよくわかってませんが(笑 bureaucraticな話なんでしょーか。OAuthの関与する分野からして、その手の話は避けて通れないから、重要なんでしょうか(汗 MLのフォローでは、セキュリティ関連の人にもナシをつける意味で重要だと…

SELinuxを有効にしているときにありがちなpermission denied

Redhat系のディストリビューションでは、もう普通にSELinuxがenableというかenforcingの状態になってるケースが多いと思うのですけれども、そういう環境で、一般ユーザのホームディレクトリ以下でpublic_html以外のところにコンテンツを置いて参照させようと…

Clickjackingについてのメモ

Chromium blogで久しぶりにClickjackingという単語を見かけたので、関連記事を拾ってみた。問題となったのはFlashがらみのセキュリティホールだった。 Chromium Blog: ClickJacking セキュリティホール発見者のblog:Jeremiah Grossman: Clickjacking: Web p…

Nyzillaって?

高木氏のブログで見かけた。自分のマシンで動いているWinnyのプロトコルを可視化するブラウザらしい。javax.swing.JEditorPaneを利用した簡易ブラウザにwinnytp:// プロトコルハンドラを組み込んだものだそうだ。読んだことがあるはずだが、、記憶が無い(汗 …

気になったので調べ物:SSLアクセラレータ周り

404 Not Found Yahooの2006年7月 O’Reilly Open Source Convention 講演資料 ASICメーカのサイト squidでSSLアクセラレータを作ってみた | (っ´∀`)っ ゃー | nullpopopo 404 Not Found SSLアクセラレータ配下のapacheで、アクセスがhttpかhttpsかを判別する…

長期休暇の前に、後に、セキュリティで気をつけること

いくつか記事が出てました(追記するかも) 冬期の長期休暇を控えて JPCERT-CC 高木浩光@自宅の日記 - SSLを要するモバイル環境でのパスワードマネージャの使い方に注意, 日本航空のEV SSL導入のナンセンス 404エラーページ | 株式会社ラック←これはシステ…

Firefoxのセキュリティパッチ付きリリースあり枡

Not Found | MDN セキュリティ関連の修正内容は下記参照のこと Firefox 3.0 セキュリティアドバイザリ

インド、ムンバイのテロに関して、Schneier節炸裂

ちょっと時間を取って読んでみて、考えてみたい(追記予定) Communications During Terrorist Attacks are Not Bad テロや災害の最中は、できること(情報の伝達)をせよ。誤報や流言を恐れて何も発信しないのはトータルで見て損かも、という話らしいが。 Sch…

はてブのリニューアルの功罪

自分は高木氏ほどセキュリティの感覚が鋭くないので、新しいはてブのブックマークレットの動作についてはさほど疑問も持たずに利用していたのだが、ポップアップウィンドウに替わるページ内ウィンドウによるフィッシングの危険性(というか危険に対する感覚…

WPAに対するクラッキングの記事を訳してみた

あくまで自分の勉強のため。したがって正確さは期待できません。 元記事:Battered, but not broken: understanding the WPA crack | Ars Technica いい加減な訳文:WPAのクラッキング手法を理解する - 思考の道具箱 - Seesaa Wiki(ウィキ) 元記事は、Bruce…

Chromium Devに参加

あんまり手を広げすぎると自滅するが、chrome background task/ウェブアプリケーションのデスクトップ側橋頭堡 « kuの記事を見て、Google gearsがopenになるのか?っていうことでちょっと興奮してしまった(やや反省)。 Google Docs - Online documents, sp…

SELinuxによる安全なネットワーク接続 ,,,訳してみようとしたがやや挫折

元記事:Secure Networking with SELinux うまく訳せなかった:SELinuxによる安全なネットワーク接続 - 思考の道具箱 - Seesaa Wiki(ウィキ) Dan Walshの記事で、ネットワーク(ブラウザ)のセキュリティをどう確保するかという問題が取り上げられていたの…

Port 445へのアタックが増えているそうだ

TCP 445番ポートへのスキャン増加に関する注意喚起 - JPCERT/CC ALERT アタックの対象になるのはWindowsのサービスらしいMicrosoft Security Bulletin MS08-067 - Critical : Server サービスの脆弱性により、リモートでコードが実行される (958644)

SELinuxによるキオスクパソコンについてのDan Walshの記事を訳してみました。

主に自分の理解のためですので、例によって超いい加減な訳です。 去年の記事なのですが、セキュアOSユーザ会の中村さんの発表資料で触れられていたので、読み返してみました。 Dan Walshによる元記事 SELinuxでキオスクパソコンの構築 - 思考の道具箱 - Se…

Microsoftからsecurity update

JPCERT/CC Alert 2008-10-24によれば、 Microsoft から Server サービスの脆弱性情報が緊急公開されました。(中略)この脆弱性が使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります 参照: Microsoft Security Bullet…

Dan Walshの記事をまた訳してみました

元記事:Dan Walsh's Blog - Security vs Usability いい加減な訳文:セキュリティと使い勝手の対立 - Dan Walsh - 思考の道具箱 - Seesaa Wiki(ウィキ) セキュリティと使い勝手の二律背反というのはよくあるテーマですが、今回はXenの脆弱性について取り…

ClipboardからこぴぺできないのはNoScriptさんのおかげでした

アメブロの入力フォームはリッチテキストを受け付けるのだが、Firefoxはデフォルトではこの動作は禁止している。これを解除するには(サイトごとに)user.jsという設定ファイルに記述する必要がある。 以前に、この設定は完了していたのだが、今日、アメブロ…

Cube attackの論文が出たそうです

Cube Attacks on Tweakable Black Box PolynomialsBruce Schneierのblogで8/19に取り上げられてましたが、次数の低いストリーム暗号の鍵解読の新しい手法について、論文が公開されました。著者の一人はRSAで有名な、Adi Shamirです。 Abstructのいいかげんな…

Chromium(Google Chromeブラウザのオープンソースプロジェクト) blogにセキュリティアーキテクチャの紹介があった

Chromium Blog: Security Architecture かなり簡単な紹介で、描画エンジンをsandboxに閉じ込めてますってことぐらいしか書かれていない。 例によって、いい加減な訳を付けてみた。 ただし、セキュリティアーキテクチャに関する論文(PDF)が紹介されているので…

OpenSSHの vulnerability:Fedora projectが困ってたのはコレか(追記あり)

先日から、fedora-announce-listに訳のわからない"Important infrastructure announcement"なるものがポストされていたのですが、Fedora infrastructure breach? | ZDNetをFedoraプロジェクトがクラックされた原因 - RedHat系ユーザは早急に対応が必要 - yoh…

XSS Cheat Sheet

XSS Filter Evasion Cheat Sheet - OWASP yohgakiさんのブログプログラミングではホワイトリスティングが基本からホワイトリストはどう作る?経由で知りました。先達多謝、というか自分が不勉強すぎ。

PHP4.*がサポート終了、セキュリティパッチも出ません

いまさらであるが、お盆休みとかでフォローしていなかったのでメモ。PHP4を使ってるところを探し出しておかないとな。 参照: JPCERT コーディネーションセンター Weekly Report 2007年のJPCERTのメモ PHP マニュアル付録 D. PHP 4 から PHP 5 への移行 新し…

SOURCENEXTのセキュリティソフトにDoSの脆弱性が報告されている

JPCERT コーディネーションセンター Weekly Report 対象となる製品およびバージョンは以下の通りです。 ウイルスセキュリティ バージョン 9.5.0173 およびそれ以前 ウイルスセキュリティZERO バージョン 9.5.0173 およびそれ以前 たまたま手元のマシンでも使…

Gmailでhttpsで常時接続できるようになったという

Google、Gmailのセキュリティ設定を変更 - ITmedia ニュースがその記事なのだが、自分はこれをスラッシュドットで知った。 どうやら単にSSLで保護するというよりは、サーバ側でcookieにsecure属性が付けられるということらしい(参照:IPA 独立行政法人 情報…

iPhoneこんなんでてました

http://www.us-cert.gov/current/index.html#apple_releases_security_updates_for