ブログのHTTPS化によりコメントなどがリセットされました
このブログのURLをhttpからhttpsに変更しました。これにより、幾つかの情報1が参照できなくなるので記載しておきます。 Facebookのコメント FacebookのLikeやブックマークなど共有 ブログをWordPressに移行してから設定されたURLは自動的にhttpsにリダイレクトされます。 このブログでは移行前に「仕方ないので諦める」ことにした…
ソフトウェア開発環境のセキュリティ対策
ソフトウェアの開発環境は通常の環境と違う対策が必要です。その理由は開発環境には 他人が書いた未検証のモノ 自分が書いた実験用のモノ 他人または自分が書いた作りかけのモノ 制御された環境での利用を前提としたモノ 意図的に利用している新しいモノ(リリース前のソフトウェアなど) 意図的に利用している古いモノ(古いシステムサポートためなど) ※モノにはコード/ライブ…
WordPress + HTTPS + リバースプロキシ = このページにアクセスする権限がありません。
リバースプロキシ環境で結構ハマったのでブログにします。結論から書くと、WordPressのドキュメントに Note: FORCE_SSL_ADMIN should be set before wp-settings.php is required. wp-settings.phpを読み込む前にFORCE_SSL_ADMINは定義しなければならない、と書いてあ…
PHPへのメールヘッダーインジェクション
メールヘッダーインジェクションによる攻撃は一昔前に流行った攻撃です。最近ではあまり聞きませんが、PHPのmail/mb_send_mail関数はメールヘッダーインジェクションに対して十分に安全でしょうか? 実は十分に安全と言える対策は最近になって追加しました。1つは随分前に、もう1つは最近修正しています。それらの修正を紹介します。 (さらに…)
正規表現でのメールアドレスチェックは見直すべき – ReDoS
前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS(十分短い文字列で指数関数的に実行時間が増加する)が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。(特にRuby…
StackExchangeが攻撃されたReDoSの効果
StackExchangeがReDoS攻撃に遭いサイトがダウンした原因をStackExchangeのブログで紹介していました。 PHPへの影響があるか試してみました。結論を書くと、脆弱な正規表現を使っていて攻撃者が入力をコントロールできる場合、簡単に攻撃できるようです。PCRE、Onigurumaの両方で試してみましたがどちらも脆弱でした。 参考:正規表現で…
「セキュアコーディング方法論再構築の試み」を再構築してみる
セキュアコーディングに関して大きな誤解がある資料があったのでこのブログを書いています。 一つ前のブログは二つ以上の議論を理解しながら読まなければならないので解りづらい、とご意見を頂いたので”「セキュアコーディング方法論再構築の試み」を再構築してみる”として書き直してみました。 (さらに…)
セキュアコーディングを理解できていない例
追記:解りづらい、とご指摘があったので「セキュアコーディング方法論再構築の試み」を再構築してみるとして書き直してみました。このエントリの方が詳しいですが、よろしければこちらもどうぞ。 セキュリティの専門家と呼ばれる人であってもセキュアコーディング/セキュアプログラミングを正しく理解していない例は散見されます。今回はそのケースを紹介します。 参考1:セキュアコ…
Fedora 24 と VMware Workstation 12 Pro
Fedora 24にアップグレードしたところ、予想通りVMware Workstation 11が動かなくなりました。以下のようにして動作させることができました。 F26の場合はこちら:Fedora 26でVMware Workstationを利用する方法 (さらに…)