一年近くぶりm(_ _)mに、実施することになりました。 今回は、Webアプリセキュリティについて、徳丸さんと佐名木さんにお話いただきます。詳細については、以下のURLをごらんください。 http://skuf.s-lines.net/hiki/?SKUF+Meeting#l0(追記) 参加された方、…

まあ簡単に言っちまうと、有害文字(とあえて書くw)がないと、データの区切りとか、命令とデータの区切り等が表現できないからだ。その為、0x00から0xFFのうち幾つかのものをデータや命令の区切り等、特別なものとして使う(例えば、多くの処理系で0x00が文字…

結合テスト(もしかして総合テスト？)では全てのページの全てのパラメータに、あらゆるデータを入れてみたり、普通の手順とは違う手順でページをアクセスしてみたりすると思う。もしかして、ページのアクセス順番を変更してテストしない？していないならすべ…

自称JavaのエキスパートなのにEclipseでのプログラムの実行方法がわからんとはこれ如何に？Eclipse使わずに開発してんのかなぁ？

新しいのが公開されているらしい。しかし、新しいのがでたと言うのを人のはてブで知るというのはどうかと思う。

ごく特殊な部分を除いてプログラミングの基本さえ守っておけば、そんなに難しいもんじゃないと思うのだが。 ごく特殊な部分というのは暗号に関る部分であったり、セッション管理に関る部分だったりすると思う。特に暗号化ライブラリを一から構築しろと言われ…

徳丸さんのネタで出ているセミナーにて「開発者にセキュリティの知識が必要」と言われていたが、これにかなり疑問を持ってしまった。 以前は確かに私も、「セキュリティ知識が開発者にも必要」という考えだったけど、このところの入力検証とエスケープ処理に…

http://d.hatena.ne.jp/ikepyon/20070903#p2 に書いていたことについて意見もらったもので、自分地に改めて書いてみる。 http://blog.goo.ne.jp/t_iwano/e/ae81d77e587d0eadde9a9ae6e5f51abe ここで書いていた初めての人というのは今までプログラムを書いた…

http://itpro.nikkeibp.co.jp/article/COLUMN/20070829/280627/ 見事な釣り師です。ごめんなさい

おとついあたりから考えているのだけど、本当にWebアプリのセキュリティ対策として入力検証は必要なんだろうか？ 多くのWebアプリはphpやJava、Perlといった言語で書かれている。このためCに特徴的なBuffer Overflowの脆弱性というのはあまり考えられないの…

http://www.tokumaru.org/d/20070905.html#p01 すばらしい。すごくわかりやすいなぁ。うーん、それに引き換え･･･orz 後出しじゃんけんみたいだけど、実は、昨日Webアプリのセキュリティ対策ってエスケープ処理しっかりしときゃ結構いいんじゃね？(まあこれは…

ちとあまりにアレな記事を見つけてしまったもので･･･ http://www.nikkeibp.co.jp/sj/2/special/237/index3.html おすすめなのが電話番号や住所、生年月日など、複数の要素を組み合わせてパスワードを作る方法だ。たとえば、「19701201」や「misyuku6424」と…

http://www.keyman.or.jp/3w/prd/19/30002219/ nクリック詐欺の話。前にid:sonodamさんがしてた奴ですな。

サニタイズっていうと、「危険なデータを削除して、安全なデータにする」と言うイメージかなぁ。 となると昨日書いた「信頼できないものを信頼できるようにする」というイメージと確かにだぶる。私の意図としては、「信頼できない」とは、チェックせずに利用…

よく考えりゃ、多くの入門書というか、ほとんどの入門書にセキュアなコードを書かない原因があるんだよなぁ。多くの入門書が、文法やら関数、クラスの使い方の解説から入って、それらを説明するのに適したサンプルコードを載せて、ハイこんな感じでできます…

まあ、これらを適切に行っておけば、ほとんどの脆弱性は防げるはず。 詳しくは、以下のAppendix Cを読んでもらえば、その理由はわかるんじゃないかな？ http://isecom.securenetltd.com/spsmm.0.5.1.jp.pdf で、入力検証は、信頼できないものからの入力で必…

たまにあるんだよねぇorz