security

#librahackに関するメモ

背景についてはTwitterで#librahackで検索するか、高木さんのtweetなどを参照のこと。以下、おもいついたことを徒然にメモ。

iPadやiPhoneのアプリに関する素朴な疑問

このエントリは、はてなの下書き画面が変わったので、投稿のテストみたいなものです。以下、完全与太話なので、読み飛ばしプリーズ

CouchDBにTiming Attack Vulnerabilityだそうで

[SECURITY] CVE-2008-2370: Apache CouchDB Timing Attack Vulnerability参照のこと 対象となるバージョンは0.8.0から0.10.1 アタックの詳細についてはA Lesson In Timing Attacks (or, Don’t use MessageDigest.isEquals) | codahale.com参照らしいです。(…

Cloud(SaaS)に任せられる仕事とは何か(修正、追記あり)

信頼できない相手に仕事を任せられるのか?について、以下、思いついたことをならべてみた。思いつきが拡散していったら、追記するかもしれない。望み薄だけど。(2009/6/30追記:Gentry暗号の件で検索で来られた方には、Gentry暗号の簡単な解説 - 186 @ hate…

RequestPolicyを使い始めた

高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にしたを読んで、NoScriptの代替になるかもしれんと思ったため。 いきなりはてダの編集画面が使いづらくなってしまったが、、、 (追記:下記のように、一度画面を閉じて、あらためて表示する…

IETFでOAuthのWorking Groupの趣意書が固まったらしい。へぇえ

それが何を意味するか、自分にはよくわかってませんが(笑 bureaucraticな話なんでしょーか。OAuthの関与する分野からして、その手の話は避けて通れないから、重要なんでしょうか(汗 MLのフォローでは、セキュリティ関連の人にもナシをつける意味で重要だと…

SELinuxを有効にしているときにありがちなpermission denied

Redhat系のディストリビューションでは、もう普通にSELinuxがenableというかenforcingの状態になってるケースが多いと思うのですけれども、そういう環境で、一般ユーザのホームディレクトリ以下でpublic_html以外のところにコンテンツを置いて参照させようと…

Clickjackingについてのメモ

Chromium blogで久しぶりにClickjackingという単語を見かけたので、関連記事を拾ってみた。問題となったのはFlashがらみのセキュリティホールだった。 Chromium Blog: ClickJacking セキュリティホール発見者のblog:Jeremiah Grossman: Clickjacking: Web p…

Nyzillaって?

高木氏のブログで見かけた。自分のマシンで動いているWinnyのプロトコルを可視化するブラウザらしい。javax.swing.JEditorPaneを利用した簡易ブラウザにwinnytp:// プロトコルハンドラを組み込んだものだそうだ。読んだことがあるはずだが、、記憶が無い(汗 …

気になったので調べ物:SSLアクセラレータ周り

404 Not Found Yahooの2006年7月 O’Reilly Open Source Convention 講演資料 ASICメーカのサイト squidでSSLアクセラレータを作ってみた | (っ´∀`)っ ゃー | nullpopopo 404 Not Found SSLアクセラレータ配下のapacheで、アクセスがhttpかhttpsかを判別する…

長期休暇の前に、後に、セキュリティで気をつけること

いくつか記事が出てました(追記するかも) 冬期の長期休暇を控えて JPCERT-CC 高木浩光@自宅の日記 - SSLを要するモバイル環境でのパスワードマネージャの使い方に注意, 日本航空のEV SSL導入のナンセンス 404エラーページ | 株式会社ラック←これはシステ…

Firefoxのセキュリティパッチ付きリリースあり枡

Not Found | MDN セキュリティ関連の修正内容は下記参照のこと Firefox 3.0 セキュリティアドバイザリ

インド、ムンバイのテロに関して、Schneier節炸裂

ちょっと時間を取って読んでみて、考えてみたい(追記予定) Communications During Terrorist Attacks are Not Bad テロや災害の最中は、できること(情報の伝達)をせよ。誤報や流言を恐れて何も発信しないのはトータルで見て損かも、という話らしいが。 Sch…

はてブのリニューアルの功罪

自分は高木氏ほどセキュリティの感覚が鋭くないので、新しいはてブのブックマークレットの動作についてはさほど疑問も持たずに利用していたのだが、ポップアップウィンドウに替わるページ内ウィンドウによるフィッシングの危険性(というか危険に対する感覚…

WPAに対するクラッキングの記事を訳してみた

あくまで自分の勉強のため。したがって正確さは期待できません。 元記事:Battered, but not broken: understanding the WPA crack | Ars Technica いい加減な訳文:WPAのクラッキング手法を理解する - 思考の道具箱 - Seesaa Wiki(ウィキ) 元記事は、Bruce…

Chromium Devに参加

あんまり手を広げすぎると自滅するが、chrome background task/ウェブアプリケーションのデスクトップ側橋頭堡 « kuの記事を見て、Google gearsがopenになるのか?っていうことでちょっと興奮してしまった(やや反省)。 Google Docs - Online documents, sp…

SELinuxによる安全なネットワーク接続 ,,,訳してみようとしたがやや挫折

元記事:Secure Networking with SELinux うまく訳せなかった:SELinuxによる安全なネットワーク接続 - 思考の道具箱 - Seesaa Wiki(ウィキ) Dan Walshの記事で、ネットワーク(ブラウザ)のセキュリティをどう確保するかという問題が取り上げられていたの…

Port 445へのアタックが増えているそうだ

TCP 445番ポートへのスキャン増加に関する注意喚起 - JPCERT/CC ALERT アタックの対象になるのはWindowsのサービスらしいMicrosoft Security Bulletin MS08-067 - Critical : Server サービスの脆弱性により、リモートでコードが実行される (958644)

SELinuxによるキオスクパソコンについてのDan Walshの記事を訳してみました。

主に自分の理解のためですので、例によって超いい加減な訳です。 去年の記事なのですが、セキュアOSユーザ会の中村さんの発表資料で触れられていたので、読み返してみました。 Dan Walshによる元記事 SELinuxでキオスクパソコンの構築 - 思考の道具箱 - Se…

Microsoftからsecurity update

JPCERT/CC Alert 2008-10-24によれば、 Microsoft から Server サービスの脆弱性情報が緊急公開されました。(中略)この脆弱性が使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります 参照: Microsoft Security Bullet…

Dan Walshの記事をまた訳してみました

元記事:Dan Walsh's Blog - Security vs Usability いい加減な訳文:セキュリティと使い勝手の対立 - Dan Walsh - 思考の道具箱 - Seesaa Wiki(ウィキ) セキュリティと使い勝手の二律背反というのはよくあるテーマですが、今回はXenの脆弱性について取り…

ClipboardからこぴぺできないのはNoScriptさんのおかげでした

アメブロの入力フォームはリッチテキストを受け付けるのだが、Firefoxはデフォルトではこの動作は禁止している。これを解除するには(サイトごとに)user.jsという設定ファイルに記述する必要がある。 以前に、この設定は完了していたのだが、今日、アメブロ…

Cube attackの論文が出たそうです

Cube Attacks on Tweakable Black Box PolynomialsBruce Schneierのblogで8/19に取り上げられてましたが、次数の低いストリーム暗号の鍵解読の新しい手法について、論文が公開されました。著者の一人はRSAで有名な、Adi Shamirです。 Abstructのいいかげんな…

Chromium(Google Chromeブラウザのオープンソースプロジェクト) blogにセキュリティアーキテクチャの紹介があった

Chromium Blog: Security Architecture かなり簡単な紹介で、描画エンジンをsandboxに閉じ込めてますってことぐらいしか書かれていない。 例によって、いい加減な訳を付けてみた。 ただし、セキュリティアーキテクチャに関する論文(PDF)が紹介されているので…

OpenSSHの vulnerability:Fedora projectが困ってたのはコレか(追記あり)

先日から、fedora-announce-listに訳のわからない"Important infrastructure announcement"なるものがポストされていたのですが、Fedora infrastructure breach? | ZDNetをFedoraプロジェクトがクラックされた原因 - RedHat系ユーザは早急に対応が必要 - yoh…

XSS Cheat Sheet

XSS Filter Evasion Cheat Sheet - OWASP yohgakiさんのブログプログラミングではホワイトリスティングが基本からホワイトリストはどう作る?経由で知りました。先達多謝、というか自分が不勉強すぎ。

PHP4.*がサポート終了、セキュリティパッチも出ません

いまさらであるが、お盆休みとかでフォローしていなかったのでメモ。PHP4を使ってるところを探し出しておかないとな。 参照: JPCERT コーディネーションセンター Weekly Report 2007年のJPCERTのメモ PHP マニュアル付録 D. PHP 4 から PHP 5 への移行 新し…

SOURCENEXTのセキュリティソフトにDoSの脆弱性が報告されている

JPCERT コーディネーションセンター Weekly Report 対象となる製品およびバージョンは以下の通りです。 ウイルスセキュリティ バージョン 9.5.0173 およびそれ以前 ウイルスセキュリティZERO バージョン 9.5.0173 およびそれ以前 たまたま手元のマシンでも使…

Gmailでhttpsで常時接続できるようになったという

Google、Gmailのセキュリティ設定を変更 - ITmedia ニュースがその記事なのだが、自分はこれをスラッシュドットで知った。 どうやら単にSSLで保護するというよりは、サーバ側でcookieにsecure属性が付けられるということらしい(参照:IPA 独立行政法人 情報…

iPhoneこんなんでてました

http://www.us-cert.gov/current/index.html#apple_releases_security_updates_for

US-CERTより:DNSの脆弱性

すでにスラッシュドットとかで目にしていた件ですが、キャッシュネームサーバに変なデータを突っ込むことが可能だという話のようです。つまりは別のサーバへユーザを誘導できるわけで、フィッシングとかパスワード奪取とかし放題です。 最近はWi-Fi環境で使…

JPCERTからいっぱい出てます(JPCERT/CC REPORT)

http://www.jpcert.or.jp/wr/2008/wr082501.html サイボウズとかは使って無いのですが、Adobe ReaderとかIEとかはインパクトあるかな。とりあえず読み中。

CGIプロセスにダイナミックにセキュリティコンテキストを割り当てる方法

selinux-usersのMLで流れてきた記事より。 400 Bad Request 通常のSELinuxの設定では、すべてのhttpdプロセスに対して一様な設定しかできなかったのだけれど、 httpdにもsetexeccon を実行できる権限を与える Basic認証などの結果を利用して、特定のユーザに…

RTMの携帯版はauの端末からは(今のところ)使えない場合があるようだ。

ブラウザのUseragentを携帯のものに変更してアクセスしてみたところ、m.rememberthemilk.jp のサイトは、 GTE CyberTrust Global Rootによって認証されているようだ。(中間CAあり) Remember The Milk 日本版 公式ブログ » ページが見つかりませんでしたの…

US-CERT update

とりあえずタイトルだけ June 19 New Phishing/Storm Worm Variant Spreading米国のフィッシングなので、ひっかかるためには英語力が必要、なのかしら(汗. Symantecのレポートによると、中国の地震に関するメールを送りつけて、そこに危ないリンクを埋めて…

US-CERTのupdate

http://www.us-cert.gov/current/index.html参照 June 10 Microsoft Releases June Security Bulletinクリティカルなのは3件 Microsoft Security Bulletin MS08-030 - Critical : Vulnerability in Bluetooth Stack Could Allow Remote Code Execution (9513…

JP-CERTのリリースを読まなきゃな

JPCERT/CC REPORT 2008-06-04 以下、タイトルだけ見ての話 【1】Adobe Flash Player の脆弱性を使用した攻撃に関する情報→これはフォローアップの話 【2】Apple 製品に複数の脆弱性→僕、Apple製品持って無いので、、、 【3】OpenSSL に複数の脆弱性→対象バー…

FFFTPver. 1.96b(最新版)に脆弱性とのこと

http://vuln.sg/FFFTP196b-jp.html にて報告あり。悪意あるFTPサイトに接続すると、任意の場所にファイルをダウンロードされてしまう。結構やばい。

AdobeのFlash Playerに、未対処の脆弱性アリとの報告→最新版にせよとのこと

大本の報告 昨日はUS-CERTで見かけたけど、日本語でも情報でてきたみたい。Flash Playerをun-installしちゃうのがいいのかな... Adobe Flash Player の未修正の脆弱性に関する注意喚起 Flash Playerにゼロデイの脆弱性 | スラッシュドット・ジャパン US-CERT…

IPAのSQLインジェクション検知ツールであるiLogScannerはなぜJavaアプレットなのか?

参照:IPAのiLogScannerのサイト ログをスキャンするのなら、サーバ上で実行できるカタチにしといて欲しいんだけど... そうでない理由をいくつか考えてみたけど、説得力無いなー サーバ版ももちろん存在してるんだけど、リンク張るの忘れた→ありがち(汗 Jav…

CERTからXenに複数の脆弱性とのレポート

Xenに複数の脆弱性が報告され、Redhatなどからパッチが出た(→参照) Redhatが指定した対象システムは以下 RHEL Desktop Multi OS (v. 5 client) RHEL Virtualization (v. 5 server) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop…

脆弱な鍵を生成するOpenSSLの問題の影響について

もともとは「Debian -- Security Information -- DSA-1571-1 openssl予測可能な乱数の生成について」という話だったが、Debian限定の話かと思ってスルーしてました(汗 で、そんなことはない!という記事(5/15)記事(5/19)を読んだ。SSLのサーバ証明書を作成…

phishing対策ツールpetnameをFirefoxに入れてみた

高木氏のサイトをちょっとさかのぼって読んだりしていて、急に不安になったので、Firefox用のフィッシング詐欺対策ツールをインストールしてみた。 https://addons.mozilla.org/ja/firefox/addon/957 PayPalフィッシングにひっかかりそうになった 緑シグナル…

Nucleusの本家(英文)サーバがcrackされたらしい

本当にApacheがやられたのかどうかは不明だが、IEで閲覧すると悪さするようなmalwareが混入している模様(mixiのNucleusコミュより)。Googleで検索すると、警告が表示される。 参照:http://japan.nucleuscms.org/bb/viewtopic.php?t=3817 最近のApacheとい…

KB941644の更新をしたら、FTPが失敗するようになった(註:追記あり。回復したのでこのセキュリティパッチのせいではないようだ)

なんじゃそれー http://www.microsoft.com/technet/security/bulletin/ms08-001.mspx を読んでもいまいちわからん。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-001.mspx のほうが日本人にやさしいけど、、やっぱなにそれ。 http://www…

viとtripwire

管理用の設定ファイルを変更すれば、tripwireのデータベース更新をするのは当然としても、viが作る.swpファイルのおかげで、管理ファイルのあるディレクトリが更新されてしまうのは盲点だった。 設定ファイルを変更しなくても、viで開くだけでディレクトリが…