X

VMware 12とKernel 4.13のパッチ

VMware 14にはパッチがでるそうです。まだ12を使っているので以下のパッチが必要でした。13にアップグレードする意味はなさそうだったので12のままでしたが、そろそろ14にアップグレードする時期のようです。 (さらに…)

ソフトウェアセキュリティのアンチパターン

アンチパターンを知ることにより失敗を防ぐ。これはデータベース設計やソフトウェア設計で多く利用されている手法です。今回はソフトウェアセキュリティのアンチパターンを紹介します。 このエントリは不定期にメンテナンスするつもりです。 (さらに…)

ゼロトラストをより細かく分解する

セキュリティを維持する為にはゼロトラスト、何も信頼しない所から始めて信頼できることを検証する、作業が必要です。ゼロトラストは信頼できるモノと信頼できないモノに分ける作業ですが、より細かく考える必要があります。 ※ より細かく考える、とはいっても「細かい事だけ」では合成の誤謬にハマります。全体と詳細、両方をバランスよく「ゼロトラスト」することが大切です。 (さ…

なぜセキュアなシステムが作れないのか?

なぜセキュアなシステムが作れないのか?この問いは なぜバグフリーのシステムが作れないのか?1 と同類の問いです。一定規模を超えると完全にバグ/問題がないシステムを作るのは非常に困難です。どのような状況でも正常に動作する完全にバグ/問題がないシステムは簡単には作れません。しかし、バグ/問題がないシステムが容易に作れないからといって「体系的な対策を行わない」のは…

PHP用入力バリデーションモジュール – validate

ブログで紹介するのを忘れていました。PHP用の入力バリデーションモジュール validateを作りました。 https://github.com/yohgaki/validate-php PHP開発MLでの議論用に作ったので、作りかけと言える状態ですが、一応動作し使えます。 関数名はvalidate()の方が良いのでは?という意見があったので、名前は変更する…

Python 2.7.14から学ぶセキュリティの基本

Python 2.7.14が2017/9/16にリリースされました。Pythonの開発はバージョン3系に移行しており、2系はセキュリティ修正のみのリリースになっています。とは言ってもモジュールの変更を見るとバグフィックスやドキュメント修正も含まれているようです。 Python 2.7.14のリリースはソフトウェアセキュリティの基本を学ぶには良い題材になります…

Railsユーザーが真っ先にするべきセキュリティチェック – Brakeman

Railsユーザーがソースコード検査やWebサイト診断を受ける前に真っ先に使った方が良いセキュリティ検査ツールがあまり使われていないように感じています。 Brakemanはかなり良くできたツールです。私は何年も前から補助的に使っています。 (さらに…)

Fedora 26でVMware Workstationを利用する方法

Fedora 26でVMware Workstation Pro 12を使うことは可能です。可能ですが、少し手間が必要です。 追記: 2017/12現在、Fedora 27 + VMwareWorkstaion Pro 14を利用しています。この組み合わせの場合、普通にインストールするだけで利用できます。 (さらに…)

Intel Graphics for Linuxの更新ができない

先日、Fedora 25から26にアップグレードしました。特に問題なく使えているのですが、Intel Graphics for Linuxが更新されていない事に気がつきました。Intel Graphics for Linuxを更新する方法の備忘録です。インストール方法もほぼ同じです。 (さらに…)

セキュリティ対策が論理的に正しいか検証する方法

全てのセキュリティ対策は緩和策だと考えるべきです。これは個々の対策が完全であるか検証することが容易ではないからです。例えば、SQLインジェクション1つとっても本当に完全であるか?検証することは容易ではありません。プログラムが本当に思っているように動作するのか?検証する研究は、まだまだ研究段階です。 しかし、容易ではないからといって諦める訳にもいきません。不完…