タグ: security
- 2013-12-01 #security
[security]SECCON 2013 北海道大会(CTF札幌予選) writeup
SECCON 2013の北海道大会に参加した。初めてのCTFだった。結果は10チーム中4位だった。 SECCON 2013 北海道大会(CTF札幌予選) 問題は全部で10問(図は9問だけどあとで問題14が追加された)。1位のチーム (dod…
- 2011-07-22 #security #browserid
新しい認証方式 BrowserID を分かりやすく解説してみる
BrowserID という認証方式がはてなブックマークやTwitterで話題になっていたけど、話題元のニュース記事を見てもどんな仕組みか全然分からない。 なので、 BrowserID の何が新しいのか、ちょっと調べてみた。 Firefox、…
- 2011-04-28 #security
ソニー PSN の個人情報漏洩と、自衛としての1Passwordの導入
ソニーの PSN (PlayStation Network) で個人情報が漏洩する事件が発生した。 僕もPSNに登録していたので、ソニーからお知らせのメールが届いた。 PlayStation®Network/Qriocity™をご利用の皆様…
- 2008-03-02 #security
暗号化と署名は対称じゃないよという話
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんとより。 これらの解説は誤っている。これらは、RSAアルゴリズムを説明するものにはなり得ても、公開鍵暗号方式を説明するものになっていない。公開鍵と秘密鍵が「逆に使…
- 2008-03-02 #Security
署名はハッシュ関数やMACの延長で説明したほうがいいのでは?
それじゃ、署名って何よ?って話になってくるけど、暗号と署名の話 - 186::Diaryの説明を読む限りは、暗号化の延長線として話をするよりも、メッセージダイジェストやMACの延長線として話をすればいいんじゃないかと思った。 そもそも要件が…
- 2008-02-27 #security
パスワードの定期変更の必要性について
パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記より。 話題となったPCIDSSをきっかけとして、パスワードの定期変更問題について検討した。ひょっとすると、私の知らない理由によって、パスワードを定期変更するべき明…
- 2007-12-07 #Security #OAuth #JavaScript
クロスドメインのセキュリティ問題を OAuth で解決する
ちゃんと検証してない思いつきレベルの話。 JSONP や Flash の crossdomain.xml を使ったクロスドメインアクセスで機密情報を取得する場合は、(何も対策をしないと)機密情報が外部に漏洩するという問題があるけど、この対策…
- 2007-07-23 #Security
mixilabo のサービスはパスワードを渡さなくても実装できるかも
文句ばかり言うのもあれなので。 昨日の日記で「足跡をつけた人の追跡」以外ではパスワードは要らないはずって書いたけど、「足跡をつけた人の追跡」もパスワードを渡さずに実装できる気がしてきた。 ポイントは以下のとおり。 mixi のあしあとAPI…
- 2007-07-23 #Security
mixi のあしあとAPIを使って認証APIも実現できるのでは?
mixi のあしあとAPIを第三者経由で安全に使えるのなら、不完全ながら認証APIまで実現できる気がする。 ユーザはサイトAにアクセス サイトAはログイン画面を表示 ユーザはサイトAにmixiのIDとパスワードを入力し、JavaScript…
- 2007-07-22 #Security
異なるドメインでパスワード情報を共有しない方がいい
ニコニコブックマークがフィッシングサイトかどうか判別できないで書いたけど、異なるドメインなのに同じ ID とパスワードを入力するのは危険。 ニコニコ動画 (nicovideo.jp) とニコニコブックマーク (nicob.jp) 日本のはて…
- 2007-05-16 #security
USB メモリで感染するウイルス
「ITmedia News:拾ったUSBメモリは不用意につながない——外部接続デバイスを狙うワームも」より。 セキュリティ企業のSophosが5月4日に伝えたところによると、SillyFD-AAはWindowsプラットフォームを狙うワームの…
- 2006-12-13 #security
パスワードの選び方
とりとめもなく日記的雑記: 俺流:優れたパスワードの選定と記憶法にて、ITmedia Biz.ID:優れたパスワードの選定と記憶法が紹介されていた。 そこでは、『「すべてに同じパスワード」はダメ』として、以下の理由が書かれている。 すべてに…
- 2006-05-16 #security
独自MACの危険性
「はてなの認証API」について、秘密鍵とハッシュ関数を組み合わせる手法によっては、セキュリティホールが発生する可能性があるという kazuho さんの指摘や、ハッシュ関数がiterativeな性質を持つ限り、この危険性からは免れませんという…