WebサイトでSSO（Single Sign On）を実装するところも増えてきています。 比較的最近、SSO実装について議論する機会が幾つかありました。WebでSSOを実装する場合にどう実装すべきか議論したのですが、設計上に問題がある実装をイメージされている場合がありました。 Webサイトの場合、認証情報・状態を管理するサーバ（認証サーバ ）とそれを利用する…

以前のエントリでVistaへのアップグレードを薦めていますが、これは個人ユーザはアップグレードした方が良い、できればすべての個人Windowsユーザがアップグレードした方が良いと思っています。非常に多くの個人ユーザPCがボット化されている現状を考えるとXPよりVistaのセキュリティモデル（UAC）の方が優れていることは明らかです。 しかし、企業ユーザも早く…

Firefox 2.0にNullバイト攻撃の可能性、よくあるバイナリセーフ/非バイナリセーフの問題ですが... https://bugzilla.mozilla.org/show_bug.cgi?id=370445 The problem lies in how Firefox handles writes to the 'location.hostname…

まだ確認してませんがこんなのが... http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/apache/index.html The Apache web server is prone to several non crítical vulnerabilities -by thems…

10月30日作成のページですが今みました。 http://www.hackaday.com/2006/10/30/dan-kaminskys-ssl-hell/ 結構笑えます。（英語のプレゼンテーションビデオです） これではどのサイトも信用できないです。 追記： ビデオの見なくても良いように一番重要な点だけ書きます。 SSLの公開鍵・秘密鍵がデフォルトのまま…

Windows XPからVistaへアップグレードする事に懐疑的な意見もありますが、一般ユーザの多くがVistaに乗り換えるだけでもかなりのスパイウェアなどのマルウェア被害を防ぐ事が可能になると思っています。最も効果的な機能はUAC（User Access Control: 権限がたりない場合や管理者権限を必要な操作の際にユーザ認証や確認を行うダイアログを表…

SPAMMERからのページ改ざんや作成が日を追うごとに増えてきているので、wikiを管理が行いやすいMediawikiに乗り換える事にしました。まとめて移行する時間はないので段階的に移行する事になります。 「あれ凍結したはずのページが改ざん?」と思ったら大文字を小文字に変えて新しいページを作っていました。 しかし、SPAMMERも色々考えますね。 # こんな…

情報としては古くなっていますが、念のため書きます。PHP 5.2.1がリリースされています。 JP-CERTのアドバイザリ（JPCERT/CC REPORT 2007-02-07）にMODxのXSSが記載されていましたがこっちの方が重要性は高いと思われます。次のアドバイザリでは記載されるかもしれませんが、例によってPHP4は置き去りにされているので、記載され…

皮肉な事にSPAMをテーマにしたエントリにSPAMがありました。 http://blog.ohgaki.net/index.php/yohgaki/2006/07/14/10a_ya_sa_sa_ia_sa_a_ra_a_ca_a_ma_a_a_ms#c14228 （ドメイン名にSPAMを付けてページランクに影響しないようにしています） 既にあるコメントをコ…

セキュリティ問題の修正を含むアップグレード版がリリースされています。 http://b2evolution.net/news/2007/01/22/b2evo_1_8_7_and_1_9_2_released 「意味がある形での攻撃は難しいだろう」と書いてありますがアップグレードしておいた方が良いと思います。 正規表現がおかしてくリンクが正しく表示されない問…