argius note

プログラミング関連

セキュリティー

Content-Type無視によるXSS

近頃、セキュリティ関連の勉強がおろそかになっていたところ、良い記事を見つけました。3年も前ですが。 [無視できない]IEのContent-Type無視 − @IT Content-Type=text/plain が無視され content-sniffing(種類を判断するためにファイルの中身を見る処理…

Windows7/WindowsServer2008R2のファイアウォール新機能

たまたまServer2008でファイアウォールの設定が必要なことがあって知ったんですが、Windows7/WindowsServer2008R2ではネットワークインターフェイスごとに異なるファイアウォールプロファイルを設定できるようになりました。 外部から接続するデーモンプログ…

CAB暗号

http://www.atmarkit.co.jp/news/200804/11/cab.html 2ヶ月前にちょっとした祭り(?)になったようですね。何で今頃たどり着いたんだろう? 色々なエントリを読んでみたんですが...

人質ウィルス

http://itpro.nikkeibp.co.jp/article/NEWS/20070515/271109/ こんなウィルスが登場していたんですね。もしこのウィルスの暗号化が高度なものだとしたら、駆除したところでどうにもなりません。隙の無いものなら、専門家にだって解除できない。まさに人質。

MD5ハッシュ値の衝突

ハッシュ値は、異なるデータから算出された場合、まったく異なる値が得られることが前提となっているためである。 PS3とMD5ハッシュ値衝突の脆弱性との"危険な"関係 - SHA-2を代替関数に | マイナビニュース 異なる値が得られるのも重要だけど、この場合は、…

OpenID

かなり前のエントリで、アカウントが溢れているの、どうにかならないの? などとほざいてますが、ちょうどその頃にこんなものが世間で話題に上り始めていたんですね。 http://www.openid.ne.jp/ 今でも色んなサービスごとのアカウントに溺れている状態ですが…

MessageDigest

メッセージダイジェストについて、初歩的なことですがおさらいしてみました。 メッセージダイジェストはハッシュ関数と呼ばれることの方が多いかもしれませんが、あるデータから一意のハッシュ値を算出するものです。大きなデータをダウンロードしたときに、…

SPAMが減った

実際はまだ沢山来るのですが、プロバイダのメールフィルタとかAnti-SPAMとか迷惑メールフィルタなどの精度が上がったのか、手動で除去しなきゃいけないのが凄く減った気がします。

テスト用メールアドレスなど

例示/実験用として利用できるドメイン名 − @IT よく知られた話と思いますが、改めて認めておきます。RFC2606にて予約されたドメインが定義されています。 「適当」なメールアドレスを送信先にしてテストなどしている場合、「適当」に書いたつもりのドメイ…

スパムの題名

続けて「お礼」と「お詫び」というスパムが来た。ちょっとおかしかった。内容は同じ系統。

スパムアドレスは推測も有り

公開していないアドレスでも、ありがちなアカウントだと、来ます。

Winnyに関する対策について

使用目的の大半が違法なものであるという前提で言えば、使用すること自体を敬遠すべき。違法すれすれで捕まってしまうのは運が悪いのではない。法に触れる可能性を認識しているなら、自らそれを遠ざけるのが普通では。やるなら徹底的に法の下で戦ってみれば…

拡張子を抽象化する

インタラクティブなWebページの拡張子とかは、バックエンドの実装が何であるかを判別しにくくしたほうがセキュリティ上良いといわれている。例えば、".cgi"はちょっと前ならほぼPerlであった*1と想像するが、いまでは一概にはそうと言い切れないかも。それで…

WindowsXPでファイル共有ができない

ファイルの共有で、アクセス権をEveryoneのフルコントロールに設定しても、他のPCから共有フォルダが開けない。ネットワーク上にそのPCは見えているのだが、アクセスが拒否されてしまうのだ。ワークグループとか、サブネットマスクも正しく設定されているは…

IEの情報バーをローカルファイルを開いたとき非表示にする

Windows XP SP2 のIEでは、情報バーというセキュリティ機能が新しく追加されました。 で、これが粘着性でちょっとウザなのですが、ローカルファイルを開いたときがもっとウザで、情報バーをクリックして「許可する」設定にしても、リロードするたび情報バー…

Norton Internet Security 2005

Antivirus2003が切れたので導入。 「ハッカー」は「脅威」だそうです。確信犯でしょうか。

スパイウェア

スパイウェアがウィルスやワームと異なるのが、「合法」*1であるという点。ウィルスやワームは、セキュリティホールを突いて不法に侵入するのに対して、スパイウェアは正面から堂々と侵入する。そして、「表面上」はユーザが望んでインストールを選択したこ…

古いJCEの7月28日問題に注意

Java暗号処理モジュールの「7月28日問題」に警告 - ITmedia エンタープライズ 個人では1.4.2とか5.0の最新版にすれば良い話だけど。業務のはそうはいかないんですよね。1.3.1はいつまで使うのやら。

SQLインジェクションが流行っています

正確には、「世の中にはこんなにもSQLインジェクション可能なダメプログラム横行している。」ということ。さらに言うと、「セキュリティに対する知識がない技術屋の何と多いことか」です。「動けば良い」程度のWebアプリケーションしか作れない「プロ」は本…

セキュリティ入門資料

仕事でセキュリティのことをやっているので、メモしていく。Webアプリケーションに潜むセキュリティホール(1):サーバのファイルが丸見え?! - @ITちょっと古い記事だけど、セキュリティホールの定番が分かりやすくまとめられているので、初心者に教える…