タグ うさぎ文学日記
人気順 10 users 50 users 100 users 500 users 1000 users今夜つける HTTPレスポンスヘッダー (セキュリティ編) - うさぎ文学日記
security | Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなどもありますので、クライアントの環境によっては機能しないこともあります。X-Frame-Optionsブラウザが frame または if... 続きを読む
クレジットカードのセキュリティコードの保存は禁止 - うさぎ文学日記
security | 私も海外でよく使っていたイモトのWi-Fi「GLOBALDATA」のWebサーバーに不正アクセスがあり、調査の結果最大146,701件のクレジットカード情報を含む情報漏えいがあったことが判明しています。不正アクセスによるお客様情報流出に関するお知らせとお詫び | エクスコムグローバル株式会社|XCom Global, Inc. (Japan)リリースによると漏えいした情報は下... 続きを読む
Webに関わる人のための『HTTPの教科書』を発売 - うさぎ文学日記
本, 私 | ひさびさの単著となる『HTTPの教科書』が2013年5月24日に発売になります。内容はタイトルの通り、Webに関わる全ての人に捧げるHTTPを学ぶための教科書です。基礎を学びたい初心者の方から、机の上に置いてリファレンス的に使いたい方までを対象としています。HTTPの教科書発売元: 翔泳社価格: ¥ 2,730発売日: 2013/05/25posted with Socialtune... 続きを読む
お名前.comのレンタルサーバーが平文でパスワードを保存している - うさぎ文学日記
security | お名前.comで取ってるドメインがあったので、とりあえずレンタルサーバーも使ってみようと申し込んでみました。月額1575円の共用サーバー SD|ドメイン取得なら お名前.com設定を始めたところ、設定用のWebインタフェースのコントロールパネルに、メールアカウントや管理者アカウント、FTPアカウントなどのパスワードが表示されるという状況でした。※パスワードの箇所は暗号化されて... 続きを読む
セブ島2週間短期留学まとめ - ラングリッチ - うさぎ文学日記
私 | 仕事の忙しさが、GW前に一段落したので、GW明けから流行りの?セブ島へ英語を勉強しに超短期留学してきました。ちなみに初留学。滞在期間は5月6日(日)〜5月19日(土)の2週間です。 (授業は5月7日〜5月18日)留学に行った目的は下記の二つでした。会話経験に乏しいため会話目的。セキュリティ関連の英語記事の翻訳は何とか時間を掛けたらできるけど、会話をとにかくしたかった。できれば、テクニカルな... 続きを読む
Googleがパスワードジェネレーターを開発中 - うさぎ文学日記
security | 古くからあり、未だに絶えることのないパスワード攻撃ですが、それでもユーザーが強いパスワードを作って、それを使ってくれることは期待できません。Googleは長期的にはOpenIDを広めたいようですが、それが叶うのはまだ先の話だということで、Chromeブラウザーの新機能として開発中なのが、パスワードジェネレーターです。passwordフォームに小さなUIを追加して、クリックする... 続きを読む
PHP Vulnerability Hunter - 自動ファジングテストツール - うさぎ文学日記
security | Webアプリケーションの脆弱性を見つける方法の1つにファジングがありますが、このツールはPHPのWebアプリケーションのファジングテストを自動的に行うためのツールです。ローカルのファイルに対して使うツールとなっていて、ソースコードの分析まで行うとのこと。インタフェースはこれだけ、簡単に使えそう。果たしてその実力や如何に?未検証なので、何かの機会で試してみたいところ。PHP V... 続きを読む
パスワード認証を回避してWindowsにログインする方法 - うさぎ文学日記
security | 目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に権限のないPCなどで試さないようにして下さいね。方法は以下の通り簡単です。Ubuntuなどでブートして、Windowsドライブをマ... 続きを読む
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
security | CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを... 続きを読む
9割がパスワード使い回し、漏えいしたソニーのパスワードから分析 - うさぎ文学日記
security | 連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。Troy Hunt: A brief Sony password analysis以下の観点について分析がなされています。長さ文字空間(文字の種類)乱数一意... 続きを読む
Skypeプロトコルをリバースエンジニアリングしたソースが公開中 - うさぎ文学日記
security | Skypeのプロトコルをリバースエンジニアリングしている方が、ソースなどを公開中です。Skypeのバージョンは1.x/3.x/4.xだそうです。ちなみに今は5.3。リバースエンジニアリングできたのは全部ではなく、まだSkypeにメッセージを送るなどは実現していないそうです。特に暗号化周りのことについて触れていそうな内容です。Skypeは通信プロトコルは公開されていないので、詳... 続きを読む
マイクロソフトが14歳のハッカーを雇う - うさぎ文学日記
security | 「Call of Duty」のサーバー経由でフィッシング詐欺をやらかした14歳をマイクロソフトが雇ったようです。「Call of Duty」という第二次世界大戦を舞台としたシューティングゲームがあるみたいで、たぶんXBOXのネットワークを使うのかな。14 Year Old Hacker Hired by Microsoft after doing phishing via C... 続きを読む
SkypeにMac OS Xにリモートアクセスできる0day脆弱性 - うさぎ文学日記
security | Skype for Macにパッチが提供されていない0day脆弱性があると公表されました。Gordon Maddern氏のブログによるとMetasploitとmeterpreterを使って、リモートからMac OS X上でシェルコードを動かすExploitも動作したそうです。(Exploitコードは公開されていない様子)Skype 0day vulnerabilitiy di... 続きを読む
LastPassユーザーにマスターパスワードの変更を強制 - うさぎ文学日記
security | Webサイトのパスワード管理を行う「LastPass」で、データベースからユーザーのメールアドレス、ソルト、salt+ハッシュ化したパスワードなどが漏えいした可能性があるそうです。そのためLastPassではマスターパスワードをリセットしたので、マスターパスワードを変更することを強制しているとのこと。ソルトがあるとはいえ、単純なパスワードを使っているとしたらパスワードが解読さ... 続きを読む