もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記

2011/08/22 856 users 拙著 徳丸本 セキュリティ 徳丸浩 脆弱性

たにぐちまことさんの書かれた『よくわかるPHPの教科書（以下、「よくわかる」）』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方（以下、徳丸本）」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。4.2 入力処理とセキュリティ　「よくわかる... 続きを読む

いまさら聞けないパスワードの取り扱い方

2013/08/21 600 users パスワード 取り扱い方 徳丸 浩 twitter

Statistics Likes 0 Downloads 0 Comments 0 Embed Views 0 Views on SlideShare 0 Total Views 0 いまさら聞けないパスワードの取り扱い方 Presentation Transcript いまさら聞けないパスワードの取り扱い方 HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem ... 続きを読む

携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem(徳丸浩)の日記

2009/07/13 520 users Session 徳丸浩 索引 本書 PHP

■携帯電話向けWebアプリのセッション管理はどうなっているか 最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムの... 続きを読む

evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem(徳丸浩)の日記

2011/04/20 512 users Evernote evernoteクライアント 徳丸浩 日記

このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、... 続きを読む

私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem(徳丸浩)の日記

2011/07/05 510 users エントリ ソフトバンク 端末 検証 徳丸浩

昨日の徳丸浩の日記: ソフトバンクの非公式JavaScript対応の調査結果で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。　このエントリでは、検証の様子を報告します。なぜJavaScript対... 続きを読む

「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記

2011/11/08 498 users ファイナルアンサー 徳丸浩 SQLインジェクション対策 文書

このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー（後述）を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。この状況で、セキュリティのことをよ... 続きを読む

PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記

2011/09/04 396 users jQuery XAMPP XSS 所感 Ajax

このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。このエントリを書いたきっかけ　twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門―XAMPP/jQuery/HTML5で作るイマドキのWebサイトという本を読みました。所感は以下の通りです。タレコミ氏の主張のように、本書は... 続きを読む

WebアプリケーションでJWTをセッションに使う際の保存先は（自分なりに説明できれば）どちらでもよいと思います - 日々量産

2022/02/12 336 users JWT localStorage 徳丸 セッション 格納場所

以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き？— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。... 続きを読む

EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 - ockeghem(徳丸浩)の日記

2011/06/14 332 users EZweb KDDI 徳丸浩 告知内容 セキュリティ上

au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。EZfactoryトップページでの告知内容　EZfactoryトップページには、2011年秋冬モデルでの変更を以下のように要約しています。※お知らせ※EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」... 続きを読む

モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等 - ockeghem(徳丸浩)の日記

2011/05/18 311 users 心得 学歴 セキュリティ 脆弱性 好み

こんにちは、セキュリティ勉強会などで講師を担当しているockeghem夫です。私は学歴も知識もありませんが、セキュリティに関してはプロフェッショナル。今回は、モテるセキュ女子力を磨くための4つの心得を皆さんにお教えしたいと思います。1. あえて2〜3世代前の書籍の知識で対策するあえて2〜3世代前の書籍の知識で脆弱性対策するようにしましょう。そして勉強会の打ち上げで好みの男がいたら話しかけみましょう... 続きを読む

続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記

2010/12/09 302 users Twitter クラッカー 徳丸浩 賛否両論 神話

2008年2月に パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専門家にも多くなっているような印象を受けている。そのよう状況の中、以下の記事を読んだ。辞書攻撃がうまくいかない場合、クラッカーは総攻... 続きを読む

携帯電話事業者に学ぶ「XSS対策」 - ockeghem(徳丸浩)の日記

2010/07/26 277 users スクリプティング 徳丸浩 ＮＴ XSS対策 フィーチャーフォン

NTTドコモとソフトバンクモバイルは、フィーチャーフォン（いわゆるガラケー）にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている（しようとしている）挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。NT... 続きを読む

とくまるひろしのSession Fixation攻撃入門 - ockeghem(徳丸浩)の日記

2009/01/30 272 users 徳丸浩 日記

やぁ、みんな，元気？とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。　いつもは防御側で漢字の名前でやってるんだけど，きょうは攻撃側ということで，名乗りもひらがなに変えたんだ。だってさ，今度デブサミでご一緒するはせがわようすけさんとか，はまちちゃんとか，ひらがなの人たちの方が格好良さそうじゃないか。　では始めよう。用意するものインターネットの回線お好きなブ... 続きを読む

XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記

2007/12/02 269 users 先頭 XSS 脆弱性 整理 CSRF

昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。XSSとCSRFには似た点がある。どちらも「クロスサイト」という言葉が先頭につくなりすましのようなことが結果としてできるどちらも受動型攻撃であるそれに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全... 続きを読む

Gmailの成りすまし事件、傾向と対策 - ockeghemのtumblr

2012/10/04 260 users tumblr Twitt メールアカウント 醜態 同種

池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意 池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す 私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想（妄想）し、対策について検討します。 池田氏の主張：twitt... 続きを読む

僕が「ホワイトリスト」を採用しなかった訳 - ockeghem(徳丸浩)の日記

2011/05/09 207 users セキュアプログラミング 文脈 徳丸浩 徳丸本 実態

ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方（以下、徳丸本）では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でも... 続きを読む

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した〔2012/05/09〕 - ockeghemのtumblr

2012/05/09 181 users tumblr pastebin Twitterユーザ 真偽

アノニマスハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られて... 続きを読む

はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる - ockeghem(徳丸浩)の日記

2012/03/14 147 users HASHコンサルティングオフィシャルブログ 近藤淳也氏

すでにこちらでご案内の通り、私のブログ（徳丸浩の日記およびHASHコンサルティングオフィシャルブログ）に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。その後、株式会社はてな社長の近藤淳也氏およびはてなの日記にて行動情報の... 続きを読む

大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

2011/12/25 140 users 所作 エントリ 入力バリデーション バリデーション 観点

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対... 続きを読む

CookieのDomain属性は *指定しない* が一番安全 - ockeghem(徳丸浩)の日記

2011/10/13 139 users example.com domain 例示 徳丸浩 誤解

たまに誤解があるようですが、Cookieを設定する場合のDomain属性は *設定しない* のがもっとも安全です。以下、例示により説明します。example.com上で稼働しているWebアプリケーションで以下の2種類のSet-Cookieについて比較します。 Set-Cookie: SESS1=F3B435; Set-Cookie: SESS2=2A9E86; Domain=example.com... 続きを読む

「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記

2012/01/31 127 users 備忘 徳丸浩 質疑応答 見解 受講

昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました現在の主... 続きを読む

書籍「Android Security」の暗号鍵生成方法には課題がある - ockeghem(徳丸浩)の日記

2012/02/13 126 users 必携 エントリ アプリケーション 箇所 共通鍵

書籍「Android Security　　安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 続きを読む

「安全なWebアプリケーションの作り方」電子書籍版9月28日（水）販売開始します - ockeghem(徳丸浩)の日記

2011/09/20 122 users ＢＯＯＫ 徳丸浩 エントリ 徳丸本 原理

このエントリでは「体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践」（いわゆる徳丸本、#wasbook）の電子書籍版が9月28日（水）に販売開始されるというお知らせをします。大変要望の多かった徳丸本の電子書籍版ですが、タイトルのように、9月28日（水）の午前中に販売開始されることになりました。以下に諸データを記します。販売サイトブックパブ（http://book... 続きを読む

PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)～evalインジェクション～ - ockeghem(徳丸浩)の日記

2011/09/06 116 users XSS Ajax 徳丸浩 PHP 日記

ockeghem Webアプリのセキュリティを研究しています。HASHコンサルティングという小さな会社を経営しています。 続きを読む

hostsファイルにループバックアドレスを指定することは危険か? - ockeghemのtumblr

2012/09/24 113 users Twitter localhost tumblr なか 他人

Androidの広告よけにhostsファイルを書き換えるAdAwayというアプリ（ルート化必要）が紹介されています。それがきっかけとなり、hostsファイルを書き換えることの危険性、とくに他人が作ったhostsファイルをそのまま自端末に適用してしまうリスクがtwitterで話題になりました。 これはまったく正しいのですが、なかのきえた氏から、以下のようにlocalhostのIPアドレスを記述するこ... 続きを読む