top


総投稿数 本 
no_ star_y
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
no_11981198 star_y
 年末になり、仕事も自己プロジェクトも多忙を極める中
 ネット上から、多くの資料やファイルをダウンロード。
 一応自己防御しているけど、少々不安。

 念には念を入れて、多重のアンチウイルスソフトを組み込む。
 ※最近は、複数入れてもあまり干渉しなくなった?


  追記に ▼


FC2ブログランキング にほんブログ村 IT技術ブログ Webサイト構築へ ブログ王ランキング 人気ブログランキング 人気ホームページランキングへ


no_11041104 star_y
 いろいろとオープンソース側に接近もしている Microsoft
 動きがいになりますが、前から期待していた
 ・Microsoft Security Essentials
  無償ダウンロード できるようになっています。

 現在いくつかの「アンチウイルスソフト」を利用しては
 いるのですが、幾重ものチェックを行いたく
 アクセスして組み込み。
 記録しておきましょう。


  追記に ▼


FC2ブログランキング にほんブログ村 IT技術ブログ Webサイト構築へ ブログ王ランキング 人気ブログランキング 人気ホームページランキングへ


no_10341034 star_y
 また、セキュリティリスク関連の情報を
 発信している
 ・情報処理推進機構 から
 「無視できない」資料が公開された。

 サイト創りに関わっている以上、ネット関連の仕事で
 ご飯食べている以上、(面倒だけど)無視できない
 重要な資料だ。


「情報セキュリティ早期警戒パートナーシップガイドライン」の2009年版を公開
「情報セキュリティ早期警戒パートナーシップガイドライン」の2009年版を公開 「情報セキュリティ
  早期警戒パートナーシップガイドライン
 を改訂




 日本語版の資料として以下が公開されている。
 * 情報セキュリティ早期警戒
  パートナーシップガイドライン
   (605KB)PDFファイル - 2009年版 -
 * ソフトウェア製品開発者による
  脆弱性対策情報の公表マニュアル
   (309KB)PDFファイル
   - 情報セキュリティ早期警戒パートナーシップ
    ガイドライン 付録5抜粋編
 * ウェブサイト運営者のための
  脆弱性対応ガイド
   (721KB)PDFファイル
   - 情報セキュリティ早期警戒パートナーシップ
    ガイドライン 付録6抜粋編
 * ウェブサイト構築事業者のための
  脆弱性対応ガイド
   (739KB)PDFファイル
   - 情報セキュリティ早期警戒パートナーシップ
    ガイドライン 付録7抜粋編
 * パンフレット
  「情報システムを安全にお使いいただくために」
   (274KB)PDFファイル
 * ガイドライン2009年版の変更点
   (99KB)PDFファイル

 量は多いけど、読み込む時間を作らねば・・・

 ※ところで、こちらは・・・


◇今日のGoogle:7月22日
今日のGoogle(2009/07/22)
  「皆既日食」、雨で残念でしたね。

FC2ブログランキング にほんブログ村 IT技術ブログ Webサイト構築へ ブログ王ランキング 人気ブログランキング 人気ホームページランキングへ


no_762762 star_y
 かなり古い情報ではありますが・・・
 改めて、非常に重要な情報なので。


 様々なサービスで、
 ・アカウント
 ・パスワード
 を要求されます。

 片手で終わら無い方は、少なくないでしょう。
 両手でも足りない
 ・アカウント、パスワード
 を利用している方も多いことでしょう。

 ※私は、両手両足でもまったく足りません。

 この
 「パスワード」の安全性ですが、
 ほんと不安ですよね。

 もう3年も前の記事ですが、Gigazine のこの記事
 たびたび見返すことが多いです。
パスワードを突破するまでの速度一覧
パスワードを突破するまでの速度一覧 もう3年も前のデータ
 現在はもっと速いスピードで
 解読されるのでしょう



 ここには、
 ・設定されるパスワードの
  ・文字数
  ・数値や文字列の組み合わせ
  による

 ・パスワード解読までの時間
 掲載されています。

 >> こちら、拡大画像

  ・数値のみ10文字レベル のパスワードでは
   >> 組み合わせの数が、100億通り であろうとも
      >> アタックの種類によっては、「一瞬
         最長でも 「28時間」あれば、解読されてしまいます。

  ・文字列を組み合わせることでその脅威は減少
   アルファベット混合 + 数字であれば
   9文字用意すれば
      >> アタックの種類によって、「83日」以上はかかるそうです。
   ※くれぐれも、3年前の数字。現在は比較にならないでしょう。

  とにかく、最低限
  ・数値のみ、アルファベットのみの パスワードはやめ
   できるだけ文字数の多い、混合組み合わせを用意することは
  必須と思われます。

 改めて見返し、再認識。貴重な情報です。

 こちら、元ネタ
Password Recovery Speeds
Password Recovery Speeds こちらの記事では
 日付が
 「Tuesday 3rd March 2009 20:02 」
 となっているけど、この日付は
 動的生成かなぁ・・・



【追記】
 こちら、Microsoft が提供している
 ・強力なパスワード : その作り方と使い方
 ・パスワード チェッカー


FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


no_737737 star_y
 現在私が、関係している運用サイトは14件
 (もちろんこの「創るmetaboy」などのブログなどは
  除いて・・・なんだけど)
 会社、顧客、自身のプロジェクトにおいてだけれど、
 その環境は様々だ。

 未だに一部、
 どうしてもphp4を使わざるを得ないものもあれば
 常に最新のソフトウェア・アップデートを行っているものまで・・・

 忙しいとか時間がないとか言ってはいられない。
 ここで、実際のセキュリティ対策を検討し、
 その状況をここに管理することで
 自身への戒めと警告にしたし。

 これから、テーマ別に
 ・セキュリティ対策を考察・検討し
  ・実際の実践記録を保存するツールを用意することにした
  JavaScriptシート 作成

 ※仕組みとして
  クッキーとJavaScriptを組み合わせたもので用意するので
  見ている皆さんにも利用できるものにしてゆく。

  追記に ▼

※この連載は、
 サイトのセキュリティ対策を「やんなきゃやんなきゃ」
 と思っているmetaboyが、いつも使うこのブログを
 toDoツールにしてしまおう・・・などとこしゃくな考え
 で進める、「皆さんにも使ってもらえる」
  ・サイトセキュリティ対策実践頁
 です。


FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


no_661661 star_y
 昨日の「IE8]の記事投稿の流れで・・・

 そこにも書いたが、IE8 RC1 の特徴とも言える
 「クリック・ジャッキング対策機能
 ・サイト側で タグの準備などを行い、それを元に
  IE8 が機能する というもの

 これは果たして有効なのか?
同じように疑問に感じられてますねぇ。
IE8のクリック・ジャッキング対策機能はほんとうに有効か
 ( by COMPUTERWORLD )
IE8のクリック・ジャッキング対策機能はほんとうに有効か 「Internet Explorer 8(IE8)」に、
 「クリック・ジャッキング」攻撃
 を防止する機能を搭載
 しかし
 セキュリティ専門家の間からは、
 その有効性を疑問視する声



 そもそも「クリック・ジャッキング」とは?
 もう一度おさらい・・・

※引用転載
 ・攻撃者が
   特殊なWebプログラミングの手法を用いて
   ユーザーをだまし、
   本人が気付かないうちに
   Web上の任意のボタンをクリックさせる手法


 今回の IE8 の対策アプローチは?

※引用転載
 ・Webページに特殊なタグを追加し、
  Webボタンが悪用されるのを防ぐ


 疑問視されている憂慮される点とは?

※引用転載
 ・IE8の機能は、
  すべてのユーザーが適切な対策を
  講じることではじめて有効性を発揮
 ・啓発活動には何年もかかるはず
 ・「IEを使っているので
  クリック・ジャッキングの心配はない」
  という誤った意識を
  ユーザーが抱いてしまう危険性


 対抗馬、として
 Firefox のアドオン「NoScript
 があるわけですねえ。

 ※IE で、
  多くの優れたFirefoxのアドオンが使えるように
  なればいいのに・・・

FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


no_644644 star_y
 以前、セキュリティ対策について
 何度か記事を書いたことがある。

 ・カテゴリー [ セキュリティ対策って ]

 ただ、いろいろ情報も錯綜していて
 対応が「その場限り」になりがちだ。
 少しじっくりと、

  具体的な対策方法を、
  実施の作業を通して

 記録してゆくことにしよう。

 以下、最近 ある顧客サイトの仕事 で
 実践した(いや、その最中というか)ものだ。

  追記に ▼

FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


no_617617 star_y
 最近、頻発している
 ・サイト改ざん や サイト踏み台問題
 あるいは
 ・SQLインジェクション問題

 いろいろな情報が錯綜している中、
 基本的な対応だけで本当に大丈夫なのだろうか?

で、この情報。とても気になりますね。
セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表
 ( by COMPUTERWORLD )
セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表 ※引用転載
 今回リストアップした
 プログラミング・エラーは、
 いずれもセキュリティ・バグとして
 コンピュータ・ネットワーク諜報活動や
 サイバー犯罪に悪用されるケースが
 頻発しているもの



 本文中にある
※引用転載
 ・何よりもまず、すべてのプログラマーに、
  このトップ25リストに載っているエラーを
  含まないコードを記述する方法を周知徹底
  させる必要
 ・あらゆるプログラミング・チームに、
  これらの問題を発見・修復もしくは回避する
  ためのプロセスを踏ませ、自動ツールの
  チェックを受けたものと遜色ないほど、
  自分のコードにエラーが少ないことを立証
  するツールを使用させねばならない

 ・・・これ、引っかかりましたね。

 では、その「リスト:トップ25」とは?

2009 CWE/SANS Top 25 Most Dangerous Programming Errors
 ( by COMPUTERWORLD )
2009 CWE/SANS Top 25 Most Dangerous Programming Errors おぉ。ずらっと並んでいる
 報告書本文。無論、英語だ。
 読み解くのに時間かかかる
 自分が情けないが・・・


CWE/SANS TOP 25 Most Dangerous Programming Errors
 ( by COMPUTERWORLD )
CWE/SANS TOP 25 Most Dangerous Programming Errors こちらも内容は同じだ



 ・もちろん一度には難しいけれど、少しづつ
  読み解いて対応考えてゆこうかねぇ。
  下記のように 1件1件確認してゆく必要がありそうだ。

●2009 CWE/SANS もっとも危険なプログラミンゲラー TOP25●
 【コンポーネント間における 不安定な関係】
  ■CWE-20: Improper Input Validation(不適当な入力確認)
   「誤った入力確認が、新たな脆弱さにつながる」
   ・PHP例
$birthday = $_GET['birthday'];
$homepage = $_GET['homepage'];
echo "Birthday: $birthday<br>Homepage: <a href=$homepage>click here</a>"

   ・この場合、プログラマーは
    ・birthday には、日付形式を
    ・homepage には、URLの入力を期待している
   ・しかし、攻撃を考えるものは、URLに
    <script> タグを含めることを考えるだろうと。
   ・すると、利用者はなんらかの <script> が含まれたURLを
    利用してしまうかもしれない、サーバーを用意することとなる

   >> 単に「数値・半角」などの入力チェックだけでなく
      「攻撃」につながる可能性がないように、「入力チェック」
      を行うべきである、と。

    他にも、C や Java を例に、解説がある


FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


no_102102 star_y
 日々、ネットの世界で「創る」ことばかりに夢中になって、ひょいと
足元を救われることがある。つまらないボンミスもあれば、バグとり
の不足によるものが多いが、そうではない他者による攻撃、これは
ついつい忘れがちになるが、最大の危機的リスクだ。
 他の方が同じかどうかはわからないが、
 最近自分自身が特に感じており、

 善意者のみではない、 ということを強く意識する必要を感じている。
 ・・・といってもまだ攻撃を受けたわけではない。
 ただいつでもその可能性はあり、
 それに対して磐石か、といわれれば・・・

 「創る」ことは「守る」ことにもつながり、
 これから少しづつ考えてゆきたい。

 最初に・・・
SQLインジェクション について考える

 仕事の関係で、サイトの脆弱性を見直す段階において
SQLインジェクション対策を行うことがあった。これは、もう
ご存知、WEBアプリケーションに対する攻撃手法のひとつである
SQLインジェクション(SQL Injection) に、出来うる限りの対応
を行うこと・・・なのだが、

 今までの知識や情報から、例によって
 ・フォームからの特殊文字などのエスケープ という基本対策
 ・phpの自動エスケープ機能をオンにすること
 などを行ってきたのだが、

 どうやらこれだけではまったく不十分らしい。

 基本的に、日々のサイト構築作業において、「セキュリティ
リスクに対する対応は、もちろん重要で、完璧(?)にしなくて
はならない事なのだろうが、忙しさや、サイトを見る善意者に甘
えて、ついつい滞り勝ちであった。
 今回、ふとしたきっかけからこのあたりがとても気になり、
少し調べて見ることになったのだ。

まず、基礎的な情報を整理しよう。

◆SQLインジェクション による攻撃
 ・Wikipedia では
 「SQLインジェクション(英:SQL Injection)とは、アプリケ
ーションのセキュリティ上の不備を意図的に利用し、アプリケー
ションが想定しないSQL文を実行させることにより、データベース
システムを不正に操作する攻撃方法」(引用:Wikipedia)
 ということで、
 「インジェクション(injection)」は、
  ・内部に対して何かを注入させること を意味する

 要は
 ・データベースが導入利用されているサイトで
  SQL文を発行・実行する段階で
  特殊な命令を混入させ、データベースを不本意な操作で
  データを破壊したりすること
 だ。

 ちなみに、SQL以外にも インジェクション(injection)を主とす
る攻撃手法で、
 ・OSコマンドインジェクション(シェルに注入・干渉)|;&$`など
 ・XPathコマンドインジェクション(XML検索条件に注入・干渉)
 ・LDAPインジェクションコマンドインジェクション(ディレクトリ)
などもある。
こわいこわい。

 もうずいぶん前のことだが、例の「価格.com」に対する攻撃(2005年)も
このSQLインジェクション攻撃だったらしい。


(例)ログインの際のアカウント・パスワードにより
  認証するような場合、良く使われるSQL文で
Select * From uid = '1234' And upw = 'gggg'
などの時に、攻撃入力として
uid に ' OR t = t " などが同時に渡された場合
SQL文は
Select * From uid = '1234 OR t = t And upw = 'gggg' という形になり
情報が漏洩されることになる 
・・・ などだ。

 良く行われる手法は、
 「入力値を適切にエスケープすること」で、
 意図されたとおりのエスケープを行うこと なのだが・・・

 ' → ''
 \ → \\  など これではどうも不完全のようだ。

 そのあたりは、ほんと感心するが
 多くの専門の識者が ネット上で情報を公開・指南してくれている。
 ありがたいことだ。

http://www.thinkit.co.jp/free/tech/7/5/
http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20070422/269134/
http://gihyo.jp/dev/serial/01/php-security/0005?page=2


この中で、特にすぐにやってみようと思ったのは
すべての変数をエスケープする対策」だ。
データベースが MySQLであれば
SQL文を生成する場合、
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));
などのように
必ず、
SQL 文中で用いる文字列の特殊文字をエスケープ することだ。
http://phpspot.net/php/man/php/function.mysql-real-escape-string.html

ますは
 ここの例にのっているところを完全に行うこと
 からスタートするか・・・



FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


 








ようこそ
Add to Google 創るmetaboy:RSSフィード
My Yahoo!に追加
最新記事のRSS | 問い合わせ

仕事検索、アルバイト検索、依頼仕事の検索ポータル - 仕事検索.COM - www.jobkensaku.com ツクルン

創るmetaboy - WEB創る、サイト創る、何創る - 創ったmetaboy

 

リンク集

 

最近の記事

 

ブロとも申請フォーム
Sponserd by

さくらのレンタルサーバ さくらのレンタルサーバ
大容量・高機能レンタルサーバー heteml 大容量・高機能レンタルサーバー heteml
XREA (ValueDomain)
お名前.com お名前.com
名づけてねっと名づけてねっと
ムームードメインムームードメイン

 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。