Security

Shibuya.xss で話してきました

すごい面白かった。会いたかった人にも沢山会えたし。 適当な感じのスライドですが、そこそこ反応があって嬉しかった。 [Shibuya.xss] セキュリティ小ネタ二本 View more PowerPoint from send_

安全な HTMLDocument の生成方法について

何が危ないのか img.onerror や img.onload は src 属性の内容が評価された段階で実行されるので、外部ソースに対して HTMLDocument を構築する際などで、意図していないタイミングでスクリプトが実行されるケースがある。 具体的には、以下のような場合。 v…

Twitter でベーシック認証越しになにかやるのは控えた方が良い

なんでも JSONP で取れるので、どこかでベーシック認証通していると、認証ダイアログも出ずに DM のぶっこ抜きなんかが出来てしまったりする。 DM を JSONP で取得するデモ(ソース見て貰えればわかるけど、サーバサイドにデータ送ったりしてません) http://k…

Port801セキュリティ勉強会の資料

箇条書きテキストしか用意していなかった。超適当 Webアプリケーションセキュリティ初歩の初歩 〜はまちやの傾向と対策〜 はじめに どうセキュリティに取り組むべきか 脆弱性の殆どは、境界で起きる 基本はバリデーションとエスケープ バリデーション そのシ…

パスワードとかの話

Twitterとソーシャルハッキング - 鳥たちの創造 - はてなグループ::ついったー部 この辺の話とかで。 自分が開発側にいるからなのかもしれないけど、サービス跨いで同じパスワードを使う事はあまりないなあ。 twitterはじめる時も、こんな海のものとも山のも…

jiktoのソースコードゲットした

あとで読む。 [あとで書くかも]

SHA1の話

そういえば、一月末にSHA1が破られただなんだで、一部で話題になった件だけれど、調べたっきり書くの忘れてた。 取りあえず、火元はhttp://en.epochtimes.com/news/7-1-11/50336.htmlで、情報としては、この人が、2005年の2月とか8月とかに書いていた以上の…

YahooのXSSの話

さっき確認してみたけど、全部対応されているね。 search.yahoo.comとか若干まだ何か残ってそうな雰囲気はあるけど、詳しくは追っかけていない。 はまちちゃんによると、yahooの中の人が実証コード速攻見に来ていたということなので、IPA云々という前に、企…

アドさんのアレ見て思った。

パスワード再発行のときの、「秘密の質問」とかあって、それに生年月日指定出来たりするんだけど、実は生年月日って敢えて非公開にしないと、思いっきり全体に公開とかってサービスありそうだな。 てか、それ以前に、生年月日を自分以外に公開出来るようなシ…

新年早々インパクトでかいのが。

via seasurfers The websecurity January 2007 Archive by thread 要はPDFファイルのあとにちょっと噛ませば、XSS出来るってこと。 seasurfersで、はまちちゃんと園田さんがちょっと回避策書いてたけど*1、とりあえずAcrobat8にするか、ブラウザ内でPDF開か…

ちょっ!はまちちゃん!

やりすぎ! お金絡む辺りは、ダメ! IPAか事業者に直接連絡して。お願いだから…

たくさん入れればいいってものじゃない

時々、アンチウィルスソフトを複数入れている人を見かけて、何とも言えない気分になる。 沢山入れれば安心とかそういう風に思っているんだろうけど、検知したときにファイルの取り合いが起こって、エラいことになったりするしねえ。 それにそういう短絡的な…

ハッカーズ読んだ

凄く面白かった。それと同時に非常に危機感を覚える内容だった。 わかっちゃいるけど、ついついサボってしまう所を突かれるってこともわかっちゃいるけど…ってな内容で、ここまでカバーするには本当に何人か専任でやらないと廻らないことだと思う。 あと、逆…

dionの件

「DION」400万人分のユーザー情報流出 KDDI小野寺社長が謝罪 - ITmedia エンタープライズ KDDI 会社情報: ニュースリリース > お客様情報の流出に関するお知らせ 初めて個人情報流出系の被害にあった。 YBBの件だと、損害賠償一人頭6000円とかの判決が出たん…

会社の個人アドレス宛にPhishingメールが来てる。

ClamAVで引っかかったんだけど、Paypalの偽装。 その人のアドレスは外に公開しているわけでもないから、気になるなあ。

IPAがセキュリティ実装講座の資料公開してくれた。

ウェブアプリケーション開発者向けセキュリティ実装講座の開催について:IPA 独立行政法人 情報処理推進機構 アンケートに落とせるようにしてくれって書いたかいがあった。

IPAのセキュリティ実装講座行ってきた。

CSRFの事例になるとやっぱりはまちちゃんの話になるのね。 あと、情報セキュリティ白書とか安全なウェブサイトの作り方って冊子とかもらえた。エントリレベルにいい感じな資料だねえ。 講座の内容は、まあ、高木さんの話は普段から言ってるようなことをきっ…

MSの陰謀ですか?

mixiでマイミクさんに教えてもらった情報だけど、あまりに衝撃だったから、ブクマにとどまらず、ここでも。 http://beau.g-com.ne.jp/mon-extension-memo05_10.html#memo051011 Tompkins カウンティー政府ページのインターネーット使用についての注意インタ…