サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
今年の「#文学」
www.unixuser.org/~haruyama
2020 年 05 月 ごろから Rust に入門しました. それ以前にも触ってはいましたが, それほど身になっていなかったので. https://github.com/rust-unofficial/awesome-rust#resources の Learning を参考にして次の順にやりました. 実践Rust入門[言語仕様から開発手法まで]:書籍案内|技術評論社 The Rust Programming Language - The Rust Programming Language Rust By Example Rust Cookbook rust-lang/rustlings: Small exercises to get you used to reading and writing Rust code! So You Want to Build a Language VM
2020/02/14, OpenSSH 8.2 がリリースされました. OpenSSH 8.2 Release Note 中の OpenSSH 8.2 での変更点の翻訳 この記事にも添付します. OpenSSH 移植版付属文書の翻訳 SHA-1 の危殆化による変更, FIDO/U2F 対応が行なわれています. 2020/02/14 16:25(JST) 現在 tarball が https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/ などで配布されていないようです. (2020/02/15 には解消されました) https://github.com/openssh/openssh-portable は更新されています. https://www.openssh.com/txt/release-8.2 Future deprecation n
2019/04/17, OpenSSH 8.0 がリリースされました. OpenSSH 8.0 Release Note 中の OpenSSH 8.0 での変更点の翻訳 この記事にも添付します. OpenSSH 移植版付属文書の翻訳 https://www.openssh.com/txt/release-8.0 Security ======== セキュリティ This release contains mitigation for a weakness in the scp(1) tool and protocol (CVE-2019-6111): when copying files from a remote system to a local directory, scp(1) did not verify that the filenames that the server se
Wantedly が DMCA を悪用してから10か月ほど経ちました 参考: DMCA悪用はなぜ問題なのか - ウォンテッドリー社の悪評隠蔽事例 - web > SEO 私の知る限り, Wantedly はこの件について弁明なりなんなりしていません. Wantedly のような明確に悪いことをしその反省を示していない会社にはその得になることをなるべくしたくないという気持ちがあります. そこで, Wantedly 社のサービスを利用している会社には, まだ Wantedly 社のサービスを使い続けるのか問い合わせ, 使い続けるという回答があるなり明確に止めるという回答が得られなければそのサービスの利用をなるべく止めたいと思います. あまりに自分の生活が面倒になってもよくないので, Wantedly 社のサービスを使っているからといってすべての会社について適用するつもりはありません. 止めても
元ネタ: Linux デスクトップ環境 2017 - k0kubun’s blog 20年以上 GNU/Linux でデスクトップ環境使っているので書いてみる ディストリビューション: Debian unstable か Ubuntu 16.10 慣れ. デスクトップPCなら Debian unstable で ノートPCなら Ubuntu. 次は Arch にしようかと思う デスクトップ環境, ウィンドウマネージャ: fluxbox 慣れ. 1つだけ Wayland 環境があり, ここでは GNOME を使っている キーリマッパー: xmodmap, setxkbmap ノートPC以外では必要とはしていない. ターミナル: gnome-terminal xfce4-terminal を使っているところもある. xfce4-terminal は 解像度の異なるモニタがある場合の挙動がおかし
5.6.1. 公式に推奨されていない機能・関数の利用禁止¶ PHP: PHP 5.3.x で推奨されない機能 - Manual や PHP: PHP 5.4.x で推奨されなくなる機能 - Manual に上げられている機能や関数は利用してはならない. 5.6.3. PHPコードを評価する関数・機能の利用禁止¶ PHPコードを評価する, eval() preg_replace()の’e’修飾子 は, 利用してはならない. ただし, 利用が社内に限られているソフトウェアについては, eval()は利用してもよい. preg_replaceの’e’修飾子については preg_replace_callback()を利用すること.
4.10.1. 概要¶ Webアプリケーションには, 正しく実装しなければ個人情報の流出などの重大な事件を起こすリスクがある. サービスの開発者は, 注意深くWebアプリケーションを実装しなければならない. 4.10.2. 「安全なウェブサイトの作り方」への準拠¶ サービスの開発者は, 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方 に準拠してサービスを実装しなければならない. ただし, 以下で補足する事項や他の標準によって規定されている事項は除く.
情報セキュリティポリシー サンプル¶ この 作品 は クリエイティブ・コモンズ 表示 2.1 日本 ライセンスの下に提供されています。 この「情報セキュリティポリシー サンプル」は, 春山 征吾(@haruyama )が 株式会社ECナビ 在籍時に作成した情報セキュリティポリシーの原稿を元にしている. ただし, 元々の原稿から以下を除いている. 株式会社ECナビ の情報セキュリティポリシーとして承認され運用されている部分 春山以外の者が作成に関与した部分 株式会社ECナビ に固有の情報 このセキュリティポリシーの利用による損害などについて, 株式会社ECナビ と 春山 征吾は一切責任を負わないものとする. 元々の原稿も完成しておらず, 網羅されていない. タイトルのみの節もある. また検証されていない部分も多い. この文書は以下で公開している. haruyama/SecurityPolic
1.1. パスワード保存¶ TODO: encrypted とかの表記をかえたほうがよさげ TODO: ネタはだいたい書いたので, 発表用資料に変換する 1.1.1. パスワード保存の常識(?)¶ パスワードの保存: saltを付けてハッシュ化 ハッシュ化するので元のパスワードに復元することは困難 saltがあるので違う人が同じパスワードを付けても別のハッシュ値が得られる パスワードの照合: 入力パスワードとsaltをハッシュ化したものと保存したものを比較 1.1.2. GNU/Linuxでのパスワードの保存法¶ $id$salt$encrypted という形式でパスワードを「ハッシュ」化. 例: $6$3d1ahuOb$KiH....(略) 以下 [crypt] より(一部変更) 最初の「$」: DESを利用していないことを示す id: ハッシュの識別子
4.6.2.1. 最小¶ サービスは, パスワードの最小の長さを8文字にする必要がある. ただし, 8文字のパスワードでは機会損失の可能性が無視できない場合は, 情報セキュリティ委員会で検討し例外を認める場合がある. 4.6.2.2. 最大¶ サービスは, パスワードの最大の長さを32〜100文字にする必要がある. 後述するハッシュを利用したパスワード情報の保管を行なう場合, 最大値を規定しない場合や最大値が大きい場合DoS攻撃が可能になる恐れがある. 4.6.3. パスワードの文字種¶ サービスは, ASCIIの英字大文字, 英字小文字, 数字がパスワードに利用できなければならない. その他の文字種も利用可能にしてもよい. ただし, パスワードの文字種の増加はパスワード長の増加ほどはセキュリティを向上しないことに注意.
パスワード保存の常識(?) 自己紹介 パスワード保存の常識(?)の復習 鍵を利用したパスワード保存案 まとめ 自己紹介 ECナビ システム本部 春山征吾 @haruyama セキュリティ OpenSSH (本x2, OpenSSH情報) 暗号技術大全 18章(ハッシュ), 20章(電子署名)翻訳担当 全文検索システム Apache Solrの勉強会開催 次回は11/19(金)予定
第1回神泉セキュリティ勉強会資料¶ ECナビ 春山 征吾(@haruyama) 以下でWebシステム開発に関して疑問に思っている点を挙げていきます. プレゼンテーションではパスワード保存の部分のみとりあげます. 当日に向けてじわじわ書いていきます. プレゼンテーションで利用しない部分はちゃんとした記述をしないかもしれません. 疑問点を挙げるのでもやもやした感じになります 1.1以外はかなり適当です.
パスワード保存の常識(?) •自己紹介 •パスワード保存の常識(?)の復習 •鍵を利用したパスワード保存案 •まとめ 自己紹介 •ECナビ システム本部 春山征吾 @haruyama •セキュリティ •OpenSSH (本x2, OpenSSH情報) •暗号技術大全 •18章(ハッシュ), 20章(電子署名)翻訳担当 •全文検索システム Apache Solrの勉強会開催 •次回は11/19(金)予定 資料 •本資料 •http://goo.gl/A3Uf •本日用のネタページ •http://goo.gl/UIwW (ゆー あい だぶ だぶ) パスワード保存の常識(?) 保存 •saltを付けてハッシュ化 •保存された情報からはパスワードは復元困難 照合 •入力値にsaltを付けてハッシュ化. 保存情報と照合 GNU/Linuxでのパスワード保存 他のUnixも同様 形式 $id$sal
Solrいろいろ比較 shard, drive, version 株式会社ECナビ システム本部 ECナビラボ 春山 征吾 概要 •ECナビでのSolrの利用 •Shard 対 非Shard •HDD 対 SSD 対 ioDrive •Solr 1.3 対 Solr 1.4 •商品/ショップ検索構成(旧/新) •まとめ ECナビでのSolrの利用 •ECナビ の商品/ショップ検索 •CNET Japan サイト内検索(adingo) •アンケート回答者集計(リサーチパネル) 商品/ショップ検索をリニューアル(2010/02)するに あたり, 様々な構成を比較しました. 比較の前に...概要 毎秒何リクエストまでタイムアウト(10秒)ほぼなしで 耐えられるか! を比較. •item数/インデックスサイズ: 2600万件/22GB •実際のロボットが出したクエリ •shardはidで3つに分割
2009/11/10 - [OpenSSL][Release][Security] OpenSSL 0.9.8l リリース 以下で報じられているように, SSL/TLS プロトコルに脆弱性が発見されています. TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに:ニュース - CNET Japan TLS/SSLに設計上の脆弱性、広範囲にわたって深刻な影響の可能性 | エンタープライズ | マイコミジャーナル OpenSSHで利用しているライブラリOpenSSLでは, これをうけて renegotiation を無効にした 0.9.8l をリリースしています. SSHプロトコルにはこの問題はありません. 参考: SSH is not vulnerable to the SSL/TLS MITM attack ― djm's scribble
OpenSSH 9.8 での変更点のまとめ(暫定版) OpenSSH 9.7 での変更点のまとめ OpenSSH 9.6 での変更点のまとめ OpenSSH 9.5 での変更点のまとめ OpenSSH 9.4 での変更点のまとめ OpenSSH 9.3p2 での変更点のまとめ OpenSSH 9.3p1 での変更点のまとめ OpenSSH 9.2p1 での変更点のまとめ OpenSSH 9.1p1 での変更点のまとめ OpenSSH 9.0p1 での変更点のまとめ OpenSSH 8.9p1 での変更点のまとめ OpenSSH 8.8p1 での変更点のまとめ OpenSSH 8.7p1 での変更点のまとめ OpenSSH 8.6p1 での変更点のまとめ OpenSSH 8.5p1 での変更点のまとめ OpenSSH 8.4p1 での変更点のまとめ OpenSSH 8.3p1 での変更点のま
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ
Solr スゲェ ! 株式会社 EC ナビ システム本部 EC ナビラボグループ 春山 征吾 [email protected] EC ナビ・ EC ナビラボ の紹介 ● EC ナビ (http://ecnavi.jp) ● EC ナビラボ (http://labs.ecnavi.jp/) – 検索 (search) と情報共有 (share) をキーワードを軸 に , 次世代のソフトウェア技術 , インターネット サービスについての研究開発を行なっています . 今回提供する API の紹介 ● Buzzurl API ● http://labs.ecnavi.jp/developer/buzzurl/api/ ● Buzzurl ブックマークの投稿・検索ができます . ● NavicSearch API ● http://labs.ecnavi.jp/develope
2008/08/23 - [Security][OpenSSH] RedHat Enterprise Linux *用*の opensshパッケージに侵入者が署名した可能性があり. Red Hat Enterprise Linux 4, と Red Hat Enterprise Linux 5, Red Hat Enterprise Linux 4.5 Extended Update Support の openssh のパッケージが何者かにより書換えられ署名されていた模様です. RedHatのいくつかのサーバへの侵入により判明しました. Red Hat Enterprise Linuxの公式なパッケージが書換えられていたわけではなく, Red Hat Enterprise Linuxで利用できるopensshパッケージに脆弱なものがあった模様です. 誤った情報を流してしまい申し訳ありませ
2008/05/14 - [Security][OpenSSL][OpenSSH][Debian][Ubuntu] Debian/UbuntuのOpenSSLパッケージに脆弱性・OpenSSHにも影響する場合有り Debian/Ubuntuのopensslパッケージ 0.9.8c-1 以降に脆弱性がありました. Debian特有の誤った修正により乱数が予測可能になっています. 脆弱性が含まれた最初のバージョンの 0.9.8c-1 は 2006-09-17にリリースされています. これにより以下の鍵が影響を受けます. SSH 鍵、OpenVPN 鍵、DNSSEC 鍵、X.509 証明書を生成するのに使われる鍵データ、および SSL/TLS コネクションに使うセッション鍵です。 GnuPG や GnuTLS で生成した鍵は影響を受けません。 . 下記アドバイザリで, 脆弱な鍵を発見するための資
2008/01/02 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局」の問題点 原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局:ITproの問題点を挙げていきます. 一通り作成しました. 導入部 公開鍵暗号では,「秘密鍵」と「公開鍵」の2つの鍵をペアにして使います。この2つの鍵は,次の2つの性質を持っています。 性質1)秘密鍵から公開鍵は容易に生成できるが,その逆は非常に困難(図1)。 性質1は間違いです. 秘密鍵から公開鍵は容易に生成できることは公開鍵暗号の必要条件ではありません. 公開鍵から容易に秘密鍵が生成できては公開鍵暗号として成り立たないので, この点は問題ありません. 性質2)秘密鍵で暗号化した情報は,そのペアである公開鍵でなければ復号化できない。また公開鍵で暗号化された情報は,そのペアである秘密鍵でなければ復号
原理から学ぶネットワーク・セキュリティ 第4回 ハッシュ関数:ITproの問題点を挙げていきます. 一通り書きました. 作成中の段階では間違っていた部分があったのを確認していますが, 修正したつもりです. 私も暗号屋ではありませんので, 文章の内容の保証は致しません. 修正の御指摘は歓迎します. 導入部 データ構造としてのハッシュ/ハッシュ・テーブルと暗号技術のハッシュ関数を混同して説明するのは, 誤解を生むおそれがあります. 仮に暗号技術のハッシュ関数の説明の中でデータ構造としてのハッシュに触れる場合でも, 異なるものと説明したほうがよいでしょう. ハッシュ関数の説明として, 一方向性だけが挙げられていますが衝突耐性についても触れておくべきです. 後のコラムで衝突耐性について触れられていますが, 内容は不正確です. ハッシュ関数の実験 この部分の内容に問題はありません. ただし, 先に衝
日経Linuxに掲載されていたらしい記事「原理から学ぶネットワーク・セキュリティ」がITproで掲載されています. 第4回と第5回を読みましたが, 内容に多くの間違いが見られます. 原理から学ぶネットワーク・セキュリティ 第4回 ハッシュ関数:ITpro 原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局:ITpro 年内中くらいに時間を見つけて指摘したいと思います.(他のだれかがやってて/やってくれるといいんですけどね) (2008/01/06)第4回, 第5回について指摘しました. TrackBackから辿ってください. それ以外の回は見たら指摘したくなりそうなので見ていません. (2008/01/09)杜撰な研究者の日記において, 第1〜4回に対する評がありました. 1〜3回もだめな記事のようです. 杜撰な研究者の日記: 原理から学ぶネットワーク・セキュリティ(1)
2007/06/08 - [Security][OpenSSH] ログを監視しブルートフォースアタックを防ぐツール(DenyHosts, BlockHosts, Fail2Ban)に任意のIPアドレスを拒否させることができる脆弱性 Attacking Log analysis tools - OSSEC HIDSによると, SSHが記録するログをモニタして不正なアクセスを繰り返すIPアドレスからの接続を拒否するツール DenyHosts BlockHosts Fail2ban に以下の問題があります. (おそらく, 同様のツールには同じような問題があるでしょう.) OpenSSHのログには, ユーザ名やプロトコルのバージョンが攻撃者の指定通りに書き込まれるので, 攻撃者がある程度自由にログを挿入することが可能である これを利用して, ログを監視するツールをだまして, 任意のIPアドレスを拒
次のページ
このページを最初にブックマークしてみませんか?
『HARUYAMA Seigo』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
