このブログのURLをhttpからhttpsに変更しました。これにより、幾つかの情報1が参照できなくなるので記載しておきます。 Facebookのコメント FacebookのLikeやブックマークなど共有 ブログをWordPressに移行してから設定されたURLは自動的にhttpsにリダイレクトされます。 このブログでは移行前に「仕方ないので諦める」ことにした…

ソフトウェアの開発環境は通常の環境と違う対策が必要です。その理由は開発環境には 他人が書いた未検証のモノ 自分が書いた実験用のモノ 他人または自分が書いた作りかけのモノ 制御された環境での利用を前提としたモノ 意図的に利用している新しいモノ（リリース前のソフトウェアなど） 意図的に利用している古いモノ（古いシステムサポートためなど） ※モノにはコード／ライブ…

リバースプロキシ環境で結構ハマったのでブログにします。結論から書くと、WordPressのドキュメントに Note: FORCE_SSL_ADMIN should be set before wp-settings.php is required. wp-settings.phpを読み込む前にFORCE_SSL_ADMINは定義しなければならない、と書いてあ…

メールヘッダーインジェクションによる攻撃は一昔前に流行った攻撃です。最近ではあまり聞きませんが、PHPのmail/mb_send_mail関数はメールヘッダーインジェクションに対して十分に安全でしょうか？ 実は十分に安全と言える対策は最近になって追加しました。１つは随分前に、もう１つは最近修正しています。それらの修正を紹介します。 (さらに…)

前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS（十分短い文字列で指数関数的に実行時間が増加する）が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。（特にRuby…

StackExchangeがReDoS攻撃に遭いサイトがダウンした原因をStackExchangeのブログで紹介していました。 PHPへの影響があるか試してみました。結論を書くと、脆弱な正規表現を使っていて攻撃者が入力をコントロールできる場合、簡単に攻撃できるようです。PCRE、Onigurumaの両方で試してみましたがどちらも脆弱でした。 参考：正規表現で…

  セキュアコーディングに関して大きな誤解がある資料があったのでこのブログを書いています。 一つ前のブログは二つ以上の議論を理解しながら読まなければならないので解りづらい、とご意見を頂いたので”「セキュアコーディング方法論再構築の試み」を再構築してみる”として書き直してみました。 (さらに…)

追記：解りづらい、とご指摘があったので「セキュアコーディング方法論再構築の試み」を再構築してみるとして書き直してみました。このエントリの方が詳しいですが、よろしければこちらもどうぞ。 セキュリティの専門家と呼ばれる人であってもセキュアコーディング／セキュアプログラミングを正しく理解していない例は散見されます。今回はそのケースを紹介します。 参考1：セキュアコ…

Fedora 24にアップグレードしたところ、予想通りVMware Workstation 11が動かなくなりました。以下のようにして動作させることができました。 F26の場合はこちら：Fedora 26でVMware Workstationを利用する方法 (さらに…)

追記：平成29年度の講座の情報は 岡山大学大学院 平成29年度ビジネスマインド養成講座のお知らせ をご覧ください。   本年度も岡山大学のビジネスマインド養成講座の講師を勤めさせていただきます。情報セキュリティがよく解らない、必要性がよく解らない、対策の選択がよく解らない、の原因は基本的・根本的な部分の誤解や知識不足が原因であることがほとんどです。…