3200万人ã®å€‹äººæƒ…å ±æ¼æ´©â€•RockYouã®ãƒãƒƒã‚«ãƒ¼ä¾µå…¥ã¸ã®å¯¾å¿œã¯æœ€æ‚ª
ã‚»ã‚ュリティ・エãƒãƒ³ã‚¸ã‚§ãƒªã‚¹ãƒˆã€€é«˜æœ¨æµ©å…‰ãŒã§ãã‚‹ã¾ã§(å‰ç·¨) | ITスペシャリストã«èžã | æƒ…å ±ã‚»ã‚ュリティブãƒã‚° | 日立システムアンドサービス
ã‚»ã‚ュリティ界ã®æœ€ã‚‚手ã”ã‚ã„論客ã€é«˜æœ¨æµ©å…‰æ°ã€‚実ã¯ã€ã‚¨ãƒ³ãƒ‰ãƒ¦ãƒ¼ã‚¶ãƒ¼ã«æ£ã—ã„ã‚»ã‚ュリティ知è˜ã‚’ä¼ãˆã‚‹ãŸã‚ã«æ—¥ã€…ã€ã•ã¾ã–ã¾ãªæ´»å‹•ã‚’ã•ã‚Œã¦ã„ã¾ã™ã€‚今回ã¯ã€ã‚»ã‚ュリティã®å•“蒙活動ã«å–り組むã«è‡³ã‚‹ã¾ã§ã®çµŒç·¯ã‚’ä¸å¿ƒã«ãŠè©±ã‚’伺ã„ã¾ã™ã€‚ã€Žé«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ã€ã§ã‚‚ãŠãªã˜ã¿ã®ã‚¢ã‚°ãƒ¬ãƒƒã‚·ãƒ–ãªæ–‡ç« ã‹ã‚‰ã¯æƒ³åƒã§ããªã„よã†ãªæ„外ãªä¸€é¢ã‚‚...? 高木浩光(ãŸã‹ãŽãƒ»ã²ã‚ã¿ã¤ï¼‰ 独立行政法人 産æ¥æŠ€è¡“ç·åˆç ”究所 æƒ…å ±ã‚»ã‚ュリティ ç ”ç©¶ã‚»ãƒ³ã‚¿ãƒ¼ ä¸»ä»»ç ”ç©¶å“¡ 1994å¹´ã€åå¤å±‹å·¥æ¥å¤§å¦å¤§å¦é™¢åšå£«å¾ŒæœŸèª²ç¨‹ä¿®äº†ã€‚åšå£«ï¼ˆå·¥å¦ï¼‰ã€‚ åŒå¤§åŠ©æ‰‹ã‚’経ã¦ã€1998å¹´ã€é€šå•†ç”£æ¥çœå·¥æ¥æŠ€è¡“院電åæŠ€è¡“ç· åˆç ”究所ã«è»¢ä»»ã€‚2001å¹´ã€ç‹¬ç«‹è¡Œæ”¿æ³•äººç”£æ¥æŠ€è¡“ç·åˆç ”究所 ã«æ”¹çµ„。2002年よりåŒã‚°ãƒªãƒƒãƒ‰ç ”究センターセã‚ュアプãƒã‚° ラミングãƒãƒ¼ãƒ 長。2005å¹´4月よりç¾è·ã€‚å°‚é–€ã¯ä¸¦åˆ—分 散コンピューティングã€ãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°è¨€èªžå‡¦ç†ç³»ã€ã‚³ãƒ³ãƒ”ュータ ã‚»ã‚ュ
ワイルドéŽãŽã‚‹ realm ã®ãƒ¯ã‚¤ãƒ«ãƒ‰ã‚«ãƒ¼ãƒ‰ã‚’何ã¨ã‹ã—ãŸã„ - 番外編 - - æ—¥å‘å¤ç‰¹æ®Šå¿œæ´éƒ¨éšŠ
public suffix プãƒã‚¸ã‚§ã‚¯ãƒˆã§ã™ã‘ã©ã€Domain Name System Operations (DNSOP) ã® ML ã«ã¦è°è«–ãŒã‚ã‚‹ã®ã‚’ã€http://trombik.mine.nu/~cherry/w/index.php/2008/08/21/1355/links-roundup-400 経由ã§çŸ¥ã‚Šã¾ã—ãŸã€‚ IETF | Internet Engineering Task Force ã“ã®ã‚¹ãƒ¬ã‚‚å°‘ã—目を通ã—ãŸã‘ã© public suffix ã«å¯¾ã—ã¦å¦å®šçš„ãªæ„見ã®ã‚ˆã†ã€‚ ã•ã‚‰ã£ã¨ä¸€è¨€æ·»ãˆã‚‰ã‚Œã¦ã‚‹ã ã‘ãªã®ã§ã€è‡ªåŠ›ã§èª¿ã¹ã‚‹ã—ã‹ç„¡ã„訳ã§ã™ãŒã€http://trombik.mine.nu/~cherry/w/index.php/2008/07/10/1306/dnsops-jp-bof ã«ã¦å°‘ã—触れられã¦ã¾ã™ã。 力æ¦ã•ã‚“ã«ã‚ˆã‚‹public suffixãƒã‚¿ã€‚å…ƒãƒã‚¿ã¯DNSOP
[DNSOP] Public Suffix List
Gervase Markham <[email protected]> Mon, 09 June 2008 10:00 UTC Return-Path: <dnsop-bounces@ietf.org> X-Original-To: dnsop-archive@lists.ietf.org Delivered-To: ietfarch-dnsop-archive@core3.amsl.com Received: from [127.0.0.1] (localhost [127.0.0.1]) by core3.amsl.com (Postfix) with ESMTP id C1D1F3A6970; Mon, 9 Jun 2008 03:00:58 -0700 (PDT) X-Original-To: dns[email protected] Delivered-To: dnsop@core
OpenID Provider ã®ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– (2) - return_to 㨠realm ã®ãƒã‚§ãƒƒã‚¯ã‚’æ€ ã‚‹ãªï¼ - æ—¥å‘å¤ç‰¹æ®Šå¿œæ´éƒ¨éšŠ
OpenID Provider ã®ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– (1) - ã¾ãšã¯ SSL ã‚’å°Žå…¥ï¼è©±ã¯ãã‚Œã‹ã‚‰ã - Yet Another Hackadelicã®ç¶šç·¨ã§ã™ã€‚ ã¯ã˜ã‚ã« RP ãŒèªè¨¼ã‚¢ã‚µãƒ¼ã‚·ãƒ§ãƒ³ãƒªã‚¯ã‚¨ã‚¹ãƒˆã§ã‚ã‚‹ checkid_setup/checkid_immediate ã‚’è¡Œã†éš›ã«ã¯é€šå¸¸ã¯ return_to 㨠realm を指定ã—ã¾ã™ã€‚ return_to ã¨ã¯ OP ã‹ã‚‰èªè¨¼ã‚¢ã‚µãƒ¼ã‚·ãƒ§ãƒ³ãƒ¬ã‚¹ãƒãƒ³ã‚¹ã‚’間接通信ã§å—ã‘å–ã‚‹éš›ã«æˆ»ã£ã¦æ¥ã‚‹URLã®äº‹ã€‚RP ãŒæŒ‡å®šã—ã¦ãŠã。 realm ã¨ã¯ return_to ã®ãƒ‘ターンをワイルドカードを使ã£ã¦è¡¨ç¾ã™ã‚‹ã€‚ return_to 㨠realm ã®æ¤œè¨¼ 基本的㫠return_to ã®å…ˆã¯ http://openid.art-code.org/handler ã§ã‚ã‚‹ã¨ã„ã†å‰æã§ã€‚便宜上番å·æŒ¯ã‚Šã¾ã—ãŸã€‚ (1) 期待通りã®çµ„åˆã› real
OpenID Provider ã®ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– (1) - ã¾ãšã¯ SSL ã‚’å°Žå…¥ï¼è©±ã¯ãã‚Œã‹ã‚‰ã - æ—¥å‘å¤ç‰¹æ®Šå¿œæ´éƒ¨éšŠ
ã‚„ã£ã¨ä¸‹æº–備終ã‚ã£ãŸã®ã§æ›¸ã„ã¦ã¿ã‚‹ã€‚ OpenID ã§ã®ãƒ—トãƒã‚³ãƒ«ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ã§ã€èªè¨¼ã‚¢ã‚µãƒ¼ã‚·ãƒ§ãƒ³è¦æ±‚*1åŠã³å¿œç”*2ã§ã®ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ã¯é€šå¸¸ã€RP-OP 間㧠associate 時ã«äº¤æ›ã—㟠MAC ã‚ーをæŒã£ã¦ç½²åã‚’è¡Œã†ç‚ºã€æœŸå¾…ã™ã‚‹ç›¸æ‰‹ã¨é€šä¿¡ã—ã¦ã„ã‚‹é™ã‚Šã¯æ”¹ã–ã‚“ã¯èµ·ã“ã‚Šã«ãã„ã¨è€ƒãˆã‚‰ã‚Œã¾ã™ã€‚ 但ã—最近話題ã«å‡ºã¦æ¥ã¦ã„ã‚‹ DNS Cache Poisoning ã®ã‚ˆã†ãªæ”»æ’ƒã‚’å—ã‘ãŸå ´åˆã€ä¸é–“者攻撃 (man-in-the-middle attack) ãŒæˆç«‹ã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ 攻撃手法ã®ä¾‹ 例ãˆã°ã€RP ã® DNS ãŒæ±šæŸ“ã•ã‚Œã¦ã„ãŸå ´åˆã‚’考ãˆã¾ã™ã€‚æœ¬æ¥ OP ã§ã‚ã‚‹ã¯ãšã®ãƒ›ã‚¹ãƒˆãŒæ‚ªæ„ã®ã‚る第三者ã®ã‚µãƒ¼ãƒãƒ¼ã«å‰²ã‚Šå½“ã¦ã‚‰ã‚Œã¦ã„ãŸå ´åˆã€ãã®ç¬¬ä¸‰è€…ã®ã‚µãƒ¼ãƒãƒ¼ãŒä¸ç¶™ã‚’è¡Œãˆã°ã€DH éµäº¤æ›ã‚’è¡Œã£ã¦ã‚‚ã¾ã£ãŸãç„¡æ„味ã§ã€èªè¨¼ãƒ‡ãƒ¼ã‚¿ãŒç›—ã¾ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ã¤ã¾ã‚Šã€ RP ã‹ã‚‰è¦‹ã‚‹ã¨ OP ã«è¦‹ãˆã¦ O
WASForum Conference 2008 ã§ã® OpenID ã®ã‚»ã‚ュリティã«ã¤ã„ã¦ã®ã‚¹ãƒ©ã‚¤ãƒ‰ã‚’公開ã—ã¾ã™ - æ—¥å‘å¤ç‰¹æ®Šå¿œæ´éƒ¨éšŠ
後ã«ã‚‚å…ˆã«ã‚‚ã‚»ã‚ュリティãŒãƒ¡ã‚¤ãƒ³ãƒ†ãƒ¼ãƒžã®é›†ã„ã§ãŠè©±ã™ã‚‹äº‹ãŒç„¡ã•ãã†ãª id:ZIGOROu ã§ã™ã€‚ä»–ã®ã‚¹ãƒ”ーカãŒå…¨å“¡ã‚¹ãƒ¼ãƒ„ã§æ¥ã‚‹ä¸ã€ä¸€äººç§æœã§æ¥ã‚‹ã¨è¨€ã†ç·Šå¼µæ„Ÿã®ç„¡ã•*1ã§ã—ãŸãŒã€å®Ÿéš›ã¯æ¿€ã—ãç·Šå¼µã—ã¦ã¾ã—ãŸï½— 7/5 Developers DAY – 事件ã¯ç¾å ´ã§èµ·ã“ã£ã¦ã„る……セã‚ュリティライフサイクルã¨ãƒžãƒ«ãƒ—ラクティス | Web Application Security Forum - WASForum ã«ã¦è¬›æ¼”ã—ãŸã‚¹ãƒ©ã‚¤ãƒ‰ã‚’公開ã—ã¾ã™ã€‚ The Security of OpenID Authentication 2.0 (PDF ファイル) 話ã®å†…容ã§ã™ãŒã€ OpenID プãƒãƒˆã‚³ãƒ«ã®æ¦‚è¦ OpenID ã®ã‚»ã‚ュリティ discovery association RP ã®è©ç§°ã¨ return_to, realm nonce ã®ç¢ºèª Identifier å†åˆ©ç”¨å•é¡Œ Reputatio
WASForum Conference2008開催決定 | Hardening Project
Web Appplication Security Forum ã¸ã‚ˆã†ã“ã。 本年ã®ã‚«ãƒ³ãƒ•ã‚¡ãƒ¬ãƒ³ã‚¹ã¯ã€2DAYS構æˆã§ã™ã€‚DAY1ã¯ã€7月4æ—¥(金)ã«ä¸¸ã®å†…コンファレンススクエアエムプラス1Fã«ã¦ã€ã¾ãŸDAY2ã¯ï¼—月5日(土)ã¯åˆå‰ã‚ˆã‚Šã€æ±éŠ€åº§ã€æ™‚事通信ホール2Fã«ã¦é–‹å‚¬ã•ã‚Œã¾ã™ã€‚ DAY1 ã¯ã€ãƒ‡ãƒ•ã‚¡ã‚¯ãƒˆCIO, CTOã®çš†ã•ã¾ã¸ã€‚ä¼æ¥ã®ITシステムã®è²¬ä»»ã‚’ã‚‚ã£ã¦ãŠã‚‰ã‚Œã‚‹ä¸ã€WEBサイトã®ã‚»ã‚ュリティã¨ITガãƒãƒŠãƒ³ã‚¹ã®ã‚ã‚Šæ–¹ã«ã¤ã„ã¦è€ƒãˆã¾ã™ã€‚ä¸Šå ´ä¼æ¥ã®CIOã®ç¾å ´ã§ã®ä½“験ã‹ã‚‰ã€ã€ŒCIOã®ãƒŸãƒƒã‚·ãƒ§ãƒ³ã€å“æ ¼ã€ã«ã¤ã„ã¦ä¼ºã„ã¾ã™ã€‚ ã¾ãŸã€ã“ã“最近ã®äº‹ä¾‹ã‚‚å«ã‚ã€ã‚»ã‚ュリティ被害ã«å¯¾å‡¦ ã—ã¦ã“られãŸä¼æ¥ã‚ˆã‚Šã€ã„ã¤ã‚‚ãªãŒã‚‰WAS Forumãªã‚‰ã§ã¯ã®ã€ã‚¿ãƒ–ーãªã—ã®å†…容ã‹ã‚‰æ•™è¨“を引ã出ã—ã¦å‚ã‚Šã¾ã™ã€‚ DAY2ã¯ã€ç¾å ´ã®ã‚¦ã‚§ãƒ–構築関係ã®çš†æ§˜ã¸ã€‚ã“ã‚Œã¾ã§ã€ãƒŠã‚¤ãƒˆã‚»ãƒƒã‚·ãƒ§ãƒ³ã¨ã„ã†å½¢ã§å®Ÿæ–½ã—ã¦ãã¾ã—ãŸãŒã€ã‚¢ãƒ„ã„
(å±é™ºãªè¿½è¨˜ã‚ã‚Š) ã¯ã¦ãªãƒ€ã‚¤ã‚¢ãƒªãƒ¼ã§Yahoo!サイトエクスプãƒãƒ¼ãƒ©ãƒ¼ã®èªè¨¼ã‚’ã—よã†ï¼ - ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“ï¼(Hatena)
(Summary in English of this entry) Utilizing Yahoo! Site Explorer, it is possible for third parties to prevent your site by being displayed in search results. The reason is that the meta tag used for administrative rights confirmation is accepted even in the the page body even if it is html escaped. 3rd parties can gain control of your site simply by adding a comment to one of your pages. ã“ã‚“ã«ã¡ã¯ã“ã‚“ã«
OpenIDã‚’ã¨ã‚Šã¾ãã‚»ã‚ュリティ上ã®è„…å¨ã¨ãã®å¯¾ç– ï¼ ï¼ IT
å‰å›žã¯Consumerサイトを実際ã«ä½œã‚‹éš›ã®ãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°ã«é–¢ã—ã¦ãŠè©±ã—ã—ã¾ã—ãŸãŒã€ä»Šå›žã¯OpenIDã«é–¢ã™ã‚‹ã‚»ã‚ュリティã«ã¤ã„ã¦è€ƒãˆã¦ã¿ã¾ã™ã€‚ 今回å–り上ã’るトピックã¨ã—ã¦ã¯ã€ ãªã©ã‚’段階的ã«èª¬æ˜Žã—ã¦ã„ãã¾ã™ã€‚IdPã®æ§‹ç¯‰æ–¹æ³•ã‚’知るå‰ã«OpenIDプãƒãƒˆã‚³ãƒ«ã®ã‚»ã‚ュリティã«é–¢ã—ã¦ç†ŸçŸ¥ã—ã¦ãŠãã¾ã—ょã†ã€‚ OpenIDプãƒãƒˆã‚³ãƒ«ã«ãŠã‘る通信経路ã®ã‚»ã‚ュリティ ã“ã“ã¾ã§è©³ç´°ã«è§£èª¬ã—ã¦ãã¾ã›ã‚“ã§ã—ãŸãŒOpenIDèªè¨¼ãƒ—ãƒãƒˆã‚³ãƒ«ã®ãƒ•ã‚§ã‚¤ã‚ºã«ãŠã„ã¦ã€ã©ã®ã‚ˆã†ã«ã‚»ã‚ュリティ上ã®å®‰å…¨æ€§ã‚’æ‹…ä¿ã—ã¦ã„ã‚‹ã‹ã‚’解説ã—ã¾ã—ょã†ã€‚ ã¾ãšã¯associateモードをæ£å¸¸ã«å®Ÿè¡Œã™ã‚‹Smartモードã®å ´åˆã§ã™ã€‚ Consumerã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ã‹ã‚‰ã®Claimed Identifierã‚’å—ã‘å–ã‚‹ã¨ã€associateã®ã‚ャッシュãŒå˜åœ¨ã—ãªã„å ´åˆã¯æ–°è¦ã«IdPã«å¯¾ã—ã¦associateモードã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’è¡Œã„ã¾ã™ã€‚第3回ã§ã€Œas
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
dfltweb1.onamae.com – ã“ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã¯ãŠåå‰.comã§å–å¾—ã•ã‚Œã¦ã„ã¾ã™ã€‚
dfltweb1.onamae.com – ã“ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã¯ãŠåå‰.comã§å–å¾—ã•ã‚Œã¦ã„ã¾ã™ã€‚
CodeRepos::Share – Trac
{{#tags}}- {{label}}
{{/tags}}