このブログのadsense
毎日書いていると毎日書きたくなるものですね。最近はセキュリティ関係の物ばかり書いていたので、このブログのAdsenseについて書きます。
ジョブセキュリティ:セキュリティ業界の為のセキュリティ対策ではありませんか?
追記:このエントリの背景となる根拠の一部となる開発者は必修、SANS TOP 25の怪物的なセキュリティ対策に書きました。こちらも合わせてご覧ください。
今日のエントリは「セキュリティ業界ジョブセキュリの為のセキュリティー対策になっていないか?」という話です。
知らないと仕事にならないような、雇用を守る作用を持つ手法や知識のこと。
セキュリティ対策は様々な対象を守る為に行いますが、このエントリではアプリケーションセキュリティを維持することだけを考えます。
エスケープを無くせばOK、と勘違いして失敗した事例 XPath 1.0
昨日のブログでは.NETにはSQLのエスケープAPIが無いので、セキュリティ対策として本末転倒な状態になっている事を紹介しました。もう一つXPath 1.0の失敗例を紹介します。
もっと読む
IPAの「安全なSQLの呼び出し方」が安全になっていた
IPAは「安全なSQLの呼び出し方」(PDF)を以下のURLから公開しています。
http://www.ipa.go.jp/security/vuln/websecurity.html
「安全なSQLの呼び出し方」は危険である、とするエントリを書こうかと思い、内容を確認するとそうでもありませんでした。
訂正:ツイッターで徳丸氏に確認したところ、徳丸氏もエスケープを含めたSQLインジェクション対策が必要であると考えられていた、ことを確認しました。徳丸氏にはセキュリティ専門家として大変不名誉な記述であった事を訂正し、深くお詫びいたします。内容についての修正は、識別子エスケープについてブログに書くとの事でしたのでブログの内容を確認してから修正します。
別冊の「安全なSQLの呼び出し方」は基本中の基本である「正確なテキストの組み立て」によるセキュリティ対策も解説しており、概ね安全な解説書になっています。
根本的なセキュリティ対策とは?
何年間も下書きのまま塩漬けになっていたエントリを多少修正して公開します。
プログラミングではホワイトリスティングが基本ではプログラミング/システム開発とセキュリティに対する基本的な考え方をまとめて説明していませんでした。手短にこれらの基本的な考え方・解決策を紹介します。
このエントリでは「アプリケーション開発における根本的なセキュリティ対策」を考えています。
PHP 5.6の新機能
PHP Advent Calender 2013、3日目の参加エントリです。前日のPHP の配列を使った手品とその種明かしに続き3日目です。PHPの配列(ハッシュ)のキーはバイナリセーフなので何でも入れられる、ということはあまり知られていないですよね。面白い話だったと思います。
私のネタには面白さはありません。予めご了承ください :-)
さて今日のテーマのPHP5.6新機能です。PHPプロジェクトのgitレポジトリでは既にPHP5.6用のブランチが作成されています。PHP 5.6は来春リリース予定です。
大ニュース(?)だったので多くの方はご存知だと思いますが、PHPは毎年新しいマイナーバージョンをリリースします。メンテナンスされるのは2つのバージョンのみです。つまりPHP 5.6がリリースされるとPHP 5.4はEOL(メンテナンス停止。+1年のセキュリティフィックスのみ)になります。来春にPHP 5.3は完全終了です。皆さん、準備はできているでしょうか?(まだまだ色々機能を付けなければなりませんが、個人的にも困るのでアップグレードを容易にするPROVE for PHPというツールを開発しています。よろしければ試用してみてください。)
前置きが長くなりましたがPHP 5.6の新機能を紹介します。
スクリプトアップロード対策(追加)
スクリプトアップロード対策は既に書きましたが、書き漏らしていたので追加します。
もっと読む
WordPressの脆弱性調査プロジェクト Day of bugs in WordPress3 始まる
Full Disclosureに以下のようなメールが投稿されていました。
Day of bugs in WordPress3が始まるようです。
もっと読む