こりゃぁ危ない

簡単ログインの危険性

WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱

View more presentations from Hiroshi Tokumaru

20100823 kantan login

View more presentations from Rimpei Ogawa

いちおーIP制限はかけてるし、IPでキャリア判定はしてるけど。。

とりあえず当運用サイトでは、個人情報のような重要度の高い情報は保持しないことにして。

後々、ユーザー数が増えるか、要望があったら、入れよう。

まだ知識ないから保留です。



他、ガラケーの脆弱性についての記事いろいろ

mpw.jp管理人のBlog

KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された


クッキー食えないのはドコモだけ

はてなのかんたんログインがオッピロゲだった件

ユニークIDがあれば認証ができるという幻想

hashDos攻撃

http://words-of-web.seesaa.net/article/246663450.html

連想配列の実装には、高速な検索が要求されるためハッシュテーブルが用いられる。
ハッシュテーブルは、文字列を整数値（ハッシュ値）に変換するハッシュ関数を用いて、平均的には一定時間に検索・挿入・削除が行えるデータ構造である。

しかし、ハッシュ値が一致する（衝突する）キー文字列については、通常ハッシュテーブルは順次的な探索となり、検索・挿入などが遅くなる。
hashdos攻撃はその仕様を利用してハッシュ値が同じになるキーを多数POSTパラメータに含ませることにより、CPU資源を枯渇させる攻撃。

対応策
http://blog.tokumaru.org/2012/01/modsecurity-hashdos-build.html


ですって。
知らなかった。
特に赤字の部分。


アメブロは場違いかな。
やはり。

セキュリティについての参考リンク

小悪魔女子大生のサーバエンジニア日記
http://co-akuma.directorz.jp/blog/
かわいくてわかりやすい。
うさぎさん。

マジックバイトとインジェクションについて

■マジックバイト偽装について

セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは
http://japan.cnet.com/news/sec/20090015/

シグネチャー(Signature)とは？
既知の不正侵入を検知するためのパターンファイル

■画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
見れなかったからキャッシュで。
http://www.tokumaru.org/d/20071210.html
http://webcache.googleusercontent.com/search?q=cache:uNAp9fvQW_8J:www.tokumaru.org/d/20071210.html+%E3%83%9E%E3%82%B8%E3%83%83%E3%82%AF%E3%83%90%E3%82%A4%E3%83%88&cd=1&hl=ja&ct=clnk&gl=jp&source=www.google.co.jp



■インジェクションについて
http://thinkit.co.jp/free/tech/7/5/1.html

インジェクション（injection）とは、内部に何かを注入することを意味する言葉だ。インジェクション攻撃とは、プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口のことをいう。

どうしてこんなことも知らないんだろうと思ったら
まだWEB開発始めて２年目でした。
４年後には専門用語が飛んで買うようなぐらい詳しくなるつもり。


■バイナリーセーフ
バイナリデータを正しく扱うことが出来る関数
http://www.atmarkit.co.jp/fsecurity/rensai/httpbasic04/httpbasic03.html

バイナリ
http://ja.wikipedia.org/wiki/%E3%83%90%E3%82%A4%E3%83%8A%E3%83%AA
コンピューターが扱う、最小単位のデータのこと。たぶん。
２進数の集まり。


セキュリティ関係の記事、面白いんだけど、どうしてかな。
原理に近いからかな。