タグ: security

• 2013-12-01 #security

  [security]SECCON 2013 北海道大会（CTF札幌予選） writeup

  SECCON 2013の北海道大会に参加した。初めてのCTFだった。結果は10チーム中4位だった。 SECCON 2013 北海道大会（CTF札幌予選） 問題は全部で10問（図は9問だけどあとで問題14が追加された）。1位のチーム (dod…

• 2013-02-02 #security #twitter

  Twitter からパスワードリセットのお知らせが届いた

  すでにニュースになっているように、Twitterが攻撃を受け「暗号化されたパスワード」が漏洩した疑いがある模様。Twitterブログ: より安全にご利用いただくためにより\*1。 今週、Twitterは通常とは異なるアクセスパターンがあり、…

• 2012-05-09 #oauth #security #ruby #rack

  Rack 環境で OmniAuth 1.0 を使う

  一年前にOmniAuthを使ったときはバージョン0.3だったけど、いつの間にかバージョン1.0が出ていたので久しぶりに使ってみた。1.0になって以前のバージョンとは非互換がある。詳しくは公式サイトを参照。 各々の Strategy が別 g…

• 2011-07-22 #security #browserid

  新しい認証方式 BrowserID を分かりやすく解説してみる

  BrowserID という認証方式がはてなブックマークやTwitterで話題になっていたけど、話題元のニュース記事を見てもどんな仕組みか全然分からない。 なので、 BrowserID の何が新しいのか、ちょっと調べてみた。 Firefox、…

• 2011-04-28 #security

  ソニー PSN の個人情報漏洩と、自衛としての1Passwordの導入

  ソニーの PSN (PlayStation Network) で個人情報が漏洩する事件が発生した。 僕もPSNに登録していたので、ソニーからお知らせのメールが届いた。 PlayStation®Network/Qriocity™をご利用の皆様…

• 2008-03-02 #security

  暗号化と署名は対称じゃないよという話

  高木浩光＠自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんとより。 これらの解説は誤っている。これらは、RSAアルゴリズムを説明するものにはなり得ても、公開鍵暗号方式を説明するものになっていない。公開鍵と秘密鍵が「逆に使…

• 2008-03-02 #Security

  署名はハッシュ関数やMACの延長で説明したほうがいいのでは？

  それじゃ、署名って何よ？って話になってくるけど、暗号と署名の話 - 186::Diaryの説明を読む限りは、暗号化の延長線として話をするよりも、メッセージダイジェストやMACの延長線として話をすればいいんじゃないかと思った。 そもそも要件が…

• 2008-02-27 #security

  パスワードの定期変更の必要性について

  パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記より。 話題となったPCIDSSをきっかけとして、パスワードの定期変更問題について検討した。ひょっとすると、私の知らない理由によって、パスワードを定期変更するべき明…

• 2008-01-01 #Rails #Security

  Rails 2.0 の Cookie と、 RESTful でのセッション管理について

  Rails 2.0 になってセッション Cookie の持ち方が変わった。 1.2 までは Cookie にセッション ID を書き込んで、対応するセッション情報をメモリ上に持っていたけど、 2.0 だと Cookie にそのままセッション…

• 2007-12-07 #Security #OAuth #JavaScript

  クロスドメインのセキュリティ問題を OAuth で解決する

  ちゃんと検証してない思いつきレベルの話。 JSONP や Flash の crossdomain.xml を使ったクロスドメインアクセスで機密情報を取得する場合は、（何も対策をしないと）機密情報が外部に漏洩するという問題があるけど、この対策…

• 2007-12-07 #OAuth #Security

  OAuth のアイデアに kazuho さんからツッコミをいただいた

  \[あとで]タグがついた id:kazuhooku さんのブクマにスターを付けたら、エントリでツッコミをいただいた。 なんとなく書いてくれると嬉しいなという軽い気持ちだったのですが、催促したみたいで申し訳ないです。 OAuth が使えるとい…

• 2007-12-07 #OAuth #Security

  それ OpenAuth で (ry

  クライアント側でマッシュアップしたいケースについて、 id:kazuhooku さんから再びツッコミをいただいた。 AOL OpenAuth のように、iframe でメールアドレスを選択させて、その結果を親フレームに返すようにすべきだと思…

• 2007-12-06 #Security #SenderID

  machu.jp ドメインを騙った SPAM メール

  やられたよ。 今日の12時〜14時くらいに大量のリターンメールが帰ってきた。 リターンメールを装った SPAM かな？と思っていたんだけど、メールの中身を見るとどうも違うっぽい。 メールの送信先が XXXXX at machu.jp (XX…

• 2007-10-26 #memo #security

  ハッシュの salt はメッセージの前？後？

  SMD5 (Salted MD5) についての日記で、以下のように書いた。 これに対して、id:kazuhookuさんから、以下のようなコメントをいただいた。 saltを攻撃側が指定できないから順番は関係ないんじゃないかな。どのみち１ブロッ…

• 2007-10-25 #security #memo

  SMD5 をもう少し分かりやすく説明してみる (2)

  さっきの日記の続き。 ハッシュ値を使ってパスワードを管理する場合は、事前にパスワードとハッシュ値のペアを計算しておくという辞書攻撃ができた。 これは、同じパスワードから同じハッシュ値が得られることを利用している。 なので、同じパスワードから…

• 2007-10-24 #memo #security

  SMD5 をもう少し分かりやすく説明してみる (1)

  昨日の日記で SMD5 (Salted MD5) を使ったパスワード管理について書いたけど、話が行ったり来たりしている気してきた。 もう少しシンプルに書いてみよう。 パスワードを平文で管理した場合 こうなる。 | | | | | -----…

• 2007-10-23 #memo #security

  パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか)

  ブログが続かないわけ - MD5は復号できる!?という記事を読んだ。 MD5でハッシュ化されたデータを持っているオンラインデータベースがあって、そこに問い合わせると。。。 MD5 は一方向性ハッシュ関数というもの。詳しくはPKI関連技術に関…

• 2007-09-25 #security #oauth

  WebAPI のアクセス制御に使える OAuth という仕様

  miyagawa さんの Twitter で知ったけど、 OAuth という仕様が公開された。 日本語の情報は、OAuth - リソースへのアクセスを代行するプロトコルに、詳しいメモが書かれている。仕事が速いなぁ…。 OAuth は，第三者…

• 2007-07-23 #Security

  mixilabo のサービスはパスワードを渡さなくても実装できるかも

  文句ばかり言うのもあれなので。 昨日の日記で「足跡をつけた人の追跡」以外ではパスワードは要らないはずって書いたけど、「足跡をつけた人の追跡」もパスワードを渡さずに実装できる気がしてきた。 ポイントは以下のとおり。 mixi のあしあとAPI…

• 2007-07-23 #Security

  mixi のあしあとAPIを使って認証APIも実現できるのでは？

  mixi のあしあとAPIを第三者経由で安全に使えるのなら、不完全ながら認証APIまで実現できる気がする。 ユーザはサイトAにアクセス サイトAはログイン画面を表示 ユーザはサイトAにmixiのIDとパスワードを入力し、JavaScript…

• 2007-07-22 #Security

  異なるドメインでパスワード情報を共有しない方がいい

  ニコニコブックマークがフィッシングサイトかどうか判別できないで書いたけど、異なるドメインなのに同じ ID とパスワードを入力するのは危険。 ニコニコ動画 (nicovideo.jp) とニコニコブックマーク (nicob.jp) 日本のはて…

• 2007-06-24 #memo #security

  ニコニコブックマークがフィッシングサイトかどうか判別できない

  www.nicob.jp ニコニコ動画に続いて、ニコニコブックマークというサービスが始まっている。 というか、はてなブックマークを見ると6月7日からやってたみたいね。 ニコニコブックマークのアカウントはニコニコ動画と共通らしく、同じIDとパ…

• 2007-05-16 #security

  USB メモリで感染するウイルス

  「ITmedia News：拾ったUSBメモリは不用意につながない——外部接続デバイスを狙うワームも」より。 セキュリティ企業のSophosが5月4日に伝えたところによると、SillyFD-AAはWindowsプラットフォームを狙うワームの…

• 2007-02-05 #OpenID #security

  認証APIとフィッシング対策

  はてな認証APIがでてきた時に、結城さんが一般ユーザにきちんと認識させないと、悪意のある第三者が一般ユーザのパスワードを奪うアプリを作ってしまう危険性を指摘されていた。 だからかどうかは分からないけど、idproxy.netはログイン時にモ…

• 2007-02-04 #security #virus

  自動起動するUSBメモリもあるらしい

  USBメモリを挿すだけで感染するとか、やっぱり自動起動しないとか揺れ動いていたけど、OkadaHiroshiの日記 - Vista では USBメモリから自動起動する！？を読んで、自動実行機能を持ったUSBメモリがあることは分かった。 先日…

• 2007-02-01 #security #virus

  autorun.inf では USB メモリは自動起動しない？

  先日書いた他人の USB メモリを挿す時は Shift キーを押しっぱなしにする（ウイルス感染対策）という日記ですが、僕の事実誤認の可能性があります。 はてなブックマーク - cubickのブックマークにて、「そもそもUSBメモリじゃaut…

• 2007-01-28 #security #virus

  他人の USB メモリを挿す時は Shift キーを押しっぱなしにする（ウイルス感染対策）

  【注意】この日記に書かれている内容は不正確である可能性が高いです。詳しくは「autorun.inf では USB メモリは自動起動しない？」をご覧ください。誤っていると想定する箇所には取り消し線を入れています。 とある人の話。 Window…

• 2006-12-13 #security

  パスワードの選び方

  とりとめもなく日記的雑記: 俺流：優れたパスワードの選定と記憶法にて、ITmedia Biz.ID：優れたパスワードの選定と記憶法が紹介されていた。 そこでは、『「すべてに同じパスワード」はダメ』として、以下の理由が書かれている。 すべてに…

• 2006-12-07 #memo #security

  意味のあるスペルの確率

  www.textfile.org - 意味のあるスペルの確率より。 「パスワードに意味のある単語を用いることが、いかに危険か」という森博嗣氏の考察。クイズ：この考察に反論せよ。 森博嗣氏の考察は以下のとおり。 6文字の場合でも、辞書に載って…

• 2006-08-26 #tDiary #plugin #security

  キャッシュと Last-Modified の関係

  tDiary に認証機能を組み込む実験をしてから二ヶ月経つ。 日記のナビゲーションにログイン/ログアウトボタンを付けたんだけど、一つ問題があった。 それは、ログアウトした後でもナビゲーションに「ログアウト」ボタンが表示されたままになるという…

• 2006-08-26 #tDiary #plugin #security

  ETag を使ってキャッシュ制御（未解決）

  ってことで、ページの内容（ログイン/ログアウトのナビゲーション）が違うけど、日記の内容は同じ (Last-Modified が同じ) 場合にどうすればいいか。 Web を調べていたら「ETag」というものが使えそうだと気がついた。 ETag…

• 2006-08-18 #hatena #security

  はてな認証APIと PukiWiki

  ってことで、 PukiWiki を改造して、はてな認証APIに対応させた。 最近は Wiki にもコメントスパムが多くて、簡単な認証機能を組み込んでいるものが多い。 はてな認証APIを使って、はてなユーザのみが編集できるようにするとか、特定…

• 2006-07-27 #Ruby #security

  irb で覚える共通鍵暗号 (AES)

  いよいよ暗号化に挑戦。 今日は暗号と復号で同じ鍵を使う、共通鍵暗号を試してみる。 OpenSSL で使える共通鍵暗号アルゴリズムを調べる。 aes や des や rc4 が暗号化アルゴリズム (AES, DES, RC4) で、ハイフンの…

• 2006-07-25 #Ruby #security

  irb で覚える HMAC

  https://www.amazon.co.jp/dp/4797322977 irb で覚えるハッシュ関数の続きは HMAC に挑戦。 HMAC は MAC (Message Authentication Code) の一種で、さっき覚えた…

• 2006-07-21 #Ruby #security

  Ruby で OpenSSL

  日本 Ruby カンファレンスで、なひさんが Ruby/OpenSSL を上手に活用して欲しいと話していた。 少し時間ができたので、試しに使い方を調べてみるかな。 とりあえず、何は無くともマニュアルをチェック。 次に irb を起動。 タブ…

• 2006-07-21 #Ruby #security

  irb で覚えるハッシュ関数

  ハッシュ関数は任意の文字列から固定の文字列（ハッシュ値）を生成する関数。 詳しくは、@ITの記事やWikiPediaを参照。 以下のような特徴がある。 元の文字列が変わると生成されるハッシュ値も変わる ハッシュ値から元の文字列を推測できない…

• 2006-07-01 #PHP #security

  PHPのセッション管理の注意点メモ (1)

  先日の日記に書いた Ruby でのセッション管理に続けて、 PHP でのセッション管理を試している。 ちょっと調べてみたところ、いくつか注意することがあるので、メモとして残しておく。 ※ あくまで個人メモです。これだけをやればいい訳じゃない…

• 2006-05-16 #security

  独自MACの危険性

  「はてなの認証API」について、秘密鍵とハッシュ関数を組み合わせる手法によっては、セキュリティホールが発生する可能性があるという kazuho さんの指摘や、ハッシュ関数がiterativeな性質を持つ限り、この危険性からは免れませんという…

• 2006-05-07 #hatena #memo #security

  生兵法は怪我の元 (ハッシュ関数と HMAC)

  昨日の日記に書いた、「署名の生成に MD5 は危険だから HMAC を使った方がいい」という指摘が理解できないという話の続き。 「ある値」のハッシュ値が分かれば、「ある値＋α」のハッシュ値が分かるということか。これが本当なら、僕のハッシュ関…

• 2006-05-06 #memo #hatena #security

  はてなの認証API (2)

  はてなの認証APIがコールバックURLへのパラメータ指定をサポートしたみたい。 これまではコールバックURL（はてなでの認証後に戻ってくるURL）は固定だったけど、これにパラメータを付けられるというもの。 Kazuho@Cybozu Lab…

• 2006-05-05 #memo #security

  安全なプログラムって？

  連休で出かけているうちに旬は過ぎたかもしれないけど、先日の日記の続き。 話の発端となったアソシエイトIDの書き換えは、作者のミスだったらしいし、ここでは Greasemonkey の危険性に話を絞るよ。 キミガタメ「ハ」から TrackBa…

• 2006-05-02 #security #memo

  Greasemonkey の危険性

  FireFox には、 JavaScript を使って Web ブラウザ（で見ている Web ページ）の機能を拡張する Greasemonkey という拡張機能がある。 この Greasemonkey 用スクリプトの一つに、Web ページ内…

• 2006-04-24 #memo #hatena #security

  はてなの認証 API リリース

  はてなから認証 APIがリリースされた。 ざっとヘルプを読んでみたけど、2月の日記に書いたように Flickr 方式になってる。 下記は、去年の日記に書いた Flickr API の図。 flickr (2) perm を削除して代わりに …

• 2005-11-24 #security #Ajax

  あなたのクリップボードが盗まれる

  タイトルは Ceekz Logs のエントリそのまま。 結城さんの www.textfile.org で取り上げられていた。 3月のAjax とプライバシーでも書いた（最後の一行）けど、 この話なら高木さんによるInternet Explo…