Security

Ruby on Rails 2.0のセッションストア

RoRのデフォルトのセッションストアがMAC(Message authentication code)っぽい感じになったらしいです。データ自身とその正当性チェック用のコードをまとめてクライアント側でもつわけです。確かにねつ造だけが問題であればこれで良かったんですよね。何で今…

セキュアVM

なんか盛りあがっているけれども、とどのつまり「仮想化」という単語を「抽象化」に置き換えたら、なんのことはない、情報の強制的な管理機能を持つアーキテクチャのことです。そう、何十年も前から研究され標準化され、調達基準になっていたりするお話のこ…

〇〇とssh-agentは使いよう

確かに、延々と「どこにでも入れる復号済みの鍵」を握りっぱなしなのは怖いよね。というわけで、 ssh-add='ssh-add -t 86400'ではだめかなぁ。

Re: 高木浩光@自宅の日記 - hiddenパラメタは漏れやすいのか?

メモ書き: とりあえず前提として、現状で3を達成する脆弱性としてCSSXSSが存在する(という理解は正しい?) 脆弱性3: 「cookieは漏れないが、HTMLテキスト(hiddenパラメタを含む)は漏れる脆弱性」 CSRFとセッションジャックの違いとして、はてな等のような…

高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは

反応に反応を重ねるうち、どんどん論点が見えなくなってしまっているような気がします。重要なことはこのあたりかな。 処理内容を理解し、その入力と出力が何であるべきかを理解する。 処理内容が多岐にわたる以上、アプリケーションの入り口での一括処理*1…

サニタイズ処理

高木浩光さんのところで以前から盛りあがっている「サニタイズ言うなキャンペーン」に密かに賛同しているのですが、やはり入力段階でHTML実体参照への書換処理をやっているCGIが多く存在していた事が、「サニタイズは入力段でやるべきもの」という誤解を助長…

「SSL通信を検閲」,ブルーコートが2006年2月にSSLプロキシを出荷:IT Pro

個人的には、ありえないと思うのですがどうでしょう。 オレオレ証明書がこれだけ実際に利用されてしまっている現状、SSLゲートウェイだけではオレオレ証明書でも構わないサイトなのか、それともVerisign発行の証明書じゃないと嫌なサイトなのか区別できない…