DSAS開発者の部屋:PHPのセッションIDは暗号論的に弱い乱数生成器を使っており、セッションハイジャックの危険性がある

2014/01/06 143 users PHP 訳者 DSAS開発者 セッションID 危険性

下記の文章は、PHPのセッションIDに対する攻撃についてFull Disclosure MLに2010年に投稿された文章を和訳したものです。訳者の意見としては、攻撃の成立条件は極めて厳しく、そこまで深刻度は高くないと考えています。 とはいえ、疑似乱数列への攻撃がどのように行われるのか、その可能性を示す文章は比較的珍しいもののように思います。暗号論的に安全な疑似乱数とは何か、なぜ必要なのかといった内... 続きを読む

Java SE7に新たな脆弱性、セキュリティ企業が報告 - ITmedia エンタープライズ

2013/07/18 19 users ITmedia エンタープライズ 脆弱性 Java SE

セキュリティ企業によれば、Java SE7で導入されたReflection APIには、10年以上前から知られていた攻撃を防ぐ対策が施されていなかったという。 ポーランドのセキュリティ企業Security Explorationsは7月18日、Java SE7に新たな脆弱性が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を掲載した。Oracleにも同日、コンセ... 続きを読む

yebo blog: DEFCONで、CDMAや4Gが破られた???

2011/08/11 14 users CDMA DEFCON slashdot MITM攻撃 接続

2011/08/11 DEFCONで、CDMAや4Gが破られた??? Full Disclosureのメーリングリストに、DEFCON 19でCDMAや4Gネットワークが完全なMITM攻撃に成功したとするメールが流れた[techcrunch, slashdot]。DEFCONに出席したCodemanと名乗る人物のメールによれば、ホテルRioからキャリアへのCDMAと4G接続のMITM攻撃を行い、r... 続きを読む