カテゴリー
Windows

IIS 7.0

「IISおよびASP.NETの両方で、Windows認証のような設定を2度行う必要がなくなるだろう」(Isakson)

「開発者なら、IIS7を必ず気に入るはずだ。IIS7では、開発者が必要とする設定を、管理者に依頼しなくても自分で調整できるようになるのだから」(Isakson)

という事らしいです。
なんとなくセキュリティーホールを作る危険性も増えるような気配がします。
サーバとしての出荷数でWindowsがUNIX系サーバを超えた、というニュースもありましたがMicrosoftにとっては試金石になるかもしれませんね。

カテゴリー
Security

アメリカでも同じとは….

国の出先機関などの仕事をする際にセキュリティ確保が難しいとは思っていたのですが、アメリカの安全保障に関わる機関も

米国土安全保障省(DHS)は同省に課されたサイバーセキュリティに関する責任を果たせず、緊急事態に対しても全くの「無防備状態」である可能性がある。連邦会計監査官らは米国時間26日に発表した報告書の中でDHSをこう酷評した。

という状況らしい。

日本の場合、民も官ももっとおおらか(?)なので良いターゲットにされないように気を付けないとならないですね…

カテゴリー
Security

OZMallもSQLインジェクションに脆弱だった!?

価格.comもですが、OZMall(オズモール)もSQLインジェクションに脆弱だったようです。

私は両方のサイトの登録ユーザでは無いため直接の影響はありませんが、もし仮にユーザだったとしたらSQLインジェクションに対して脆弱な場合、UNIONクエリが可能な脆弱性だったかが気になります。

少しWebセキュリティに詳しい方ならご存知とは思いますが、UNIONクエリが可能な場合、SQLインジェクションを直接行えるテーブル以外のテーブルの情報を自由にアクセスできます。システムカタログへのアクセスも可能な場合は最悪の事態です。

価格.com、OZMallともに登録ユーザには案内しているのかも知れませんが、どの程度の問題だったか正確の公表しないとならないと思います。

既に価格.comは詳細を公表しないと発表していますが、盗まれたメールアドレスを利用したフィッシング詐欺などがあった場合はどうするのでしょうか? 価格.comはメールを通じてユーザに連絡するつもりなのでしょうか? メールは送信元が判りづらいため、この様なケースの場合、メールを利用した連絡はフィッシング・ファーミングを誘発する原因になりかねません。

もし私が両サイトのユーザであれば、パスワードの変更と共用したいたパスワードを全て変更します。
# Webサイトのパスワードは覚えない主義ですから、私の場合は他のサイト
# のパスワードを変更する必要はないですが。

カテゴリー
Computer Programming Security

session_regenerate_id()

前にこの関数の仕様はちょっと… と書いたのですがPHP 5.1から普通の関数になります。
# セッションデータも削除できるようになります。

– Added an optional remove old session parameter to session_regenerate_id()

カテゴリー
Computer

高橋メソッドの高橋さんとうどん

先日の土曜、高橋メソッドで有名な高橋さん、STLUGの方とうどんを食べに行きました。
# 本当はRuby関連著書、Rubyの会で有名な方ですが..

Rubyユーザで10人集まってそのうち4人がテレビを持っていない人であった、とか色々楽しい話を聞かさせて頂きました。

高松にいらしたのはWeb+DB Pressに書く記事の打ち合わせが目的だそうです。近日中(?)にRuby用Webフレームワークの記事が載るらしいので楽しみです。

仕事ではPHPも利用されているようで話が合ってよかったのですが、PHPのダメな部分をばらしすぎたかも(笑

カテゴリー
Other

暑い季節、PCが壊れる季節が来ましたね..

VMwareが入っているテスト用PCの電源が勝手に切れていました。どうもハードウェア的に自動シャットダウンしてしまったようです。一応エアコンは入れっぱなしなんですけどね… 電源を入れるとコンデンサが焦げている匂いがします…

これはテスト用のPCなので勝手に電源が切れても困りませんでしたが、これから暑くなりPCには厳しい季節です。気を付けないとならないですね。

カテゴリー
Security

不正アクセスの方法?

 不正アクセスの手口は「判明している」(穐田社長)としながらも「類似犯罪のヒントとなる情報は出したくない」

別に価格.comから情報を出すまでも無く、不正アクセスの方法はいくらでも出回っています。問題を公開すると具体的な不具合の数やその他の情報を公開しないとならなくなる為非公開にしている、と思われても仕方ありません。

例えば、SQLインジェクションに対して脆弱であった場合「SQLインジェクションでメールアドレスのみではなく、ユーザが使用していたパスワードが盗まれた可能性はあるのか?」と言った質問に答えなければならないからでしょう。

パスワードはコピーする!を読んで頂ければ分かりますが、Webサイトのパスワードがメールアドレスとセットで盗まれて困るユーザは多いのではないでしょうか?
# 私は困りませんが :)