少し古いですがLinux.comに「Windows税の返金をDELLから受けた」といった記事が載っています。 私はWindowsも使うのでサーバ以外であれば返金して欲しい、と思わないですが日本でも可能なのかと少し気になります。何時間もかけて$52.50の返金だったので著者自身も勧めてはいません。 Tipsとして 返金してもらう資格がある（日本の法律ではどうな…

パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」（ちなみにMD5はもっと危険）とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。

MS Access 2003でSHA1を使おうと思ったらどうもうまく動作しませんでした。 .NETのmbcorlibにMD5,SHA1等のハッシュ関数が定義されていてVBからはMSDNに書いてるサンプルで動作するのですがMS AccessのVBAからはいろいろ試しても動作しませんでした。サンプル通りだとオブジェクトを生成する行でシンタックスエラーになり、多少…

技術評論社の新サイトで「なぜPHPアプリにセキュリティホールが多いのか?」をテーマにブログ風の記事を掲載させていただく事になりました。第一回は「CVEでみるPHPアプリケーションセキュリティ」です。 http://gihyo.jp/serial/2007/php-security/0001 CVEをフォローしている方であればPHPアプリケーションの脆弱性レポ…

このブログのb2evolutionは1.9.1なので、1.9.1のコードを確認してみたところ、1.9.1にも厳格な入力チェックが行われていないなど、確かに好ましくない処理が行われていました。XSSと言うよりHTTP Response Splittingに脆弱なコードになっていました。 攻撃を成功させるには幾つかの条件が必要でした。 普通のクロスサイトスクリプ…

「Macworldサイトのハッキングでジョブズ氏講演の優待席を無料ゲット 」したハッカーがいるらしい。なんと認証がクライアント側で行われていたそうです。 ありえない...

1月3日付けでAdobe Readerの脆弱性が報告されています（CVE-2007-0044、CVE-2007-0045、CVE-2007-0046、CVE-2007-0047） Name: Adobe Reader Open Parameters XSS Date first reported: 1/3/07 Vulnerable software: Ad…

GmailでJavaScriptのソースとしてコンタクトリストデータを埋め込んでいたため、第三者がコンタクトリストを盗めてしまう、という問題が話題になっています。 まだ詳しく調べていませんがsrc属性に指定されたソースは誰でも（どのサイトからでも）取得できるブラウザの仕様を利用したものだと思います。 比較的早くからsrc属性で他のサイトのJavaScritp…

　経済産業省は、同省が管轄する経済産業分野の個人情報ガイドラインについて見直しを実施し、現在パブリックコメントを実施中だ。 　SecurityNEXTでも報じているが、注目される点としては、事故発生時の事業者対応について負担軽減を盛り込まれたことが挙げられる。 　たとえば、高度な暗号化などが行われている場合や、速やかに紛失した個人情報が回収された場合など、二…

Zone-Hのページが改ざんされたそうです。詳しくはこのエントリタイトルのリンク先を見て頂くとして In a short recap, our faults were: 1) Having a staff member who was not wise enough to recognize a Hotmail XSS attack. 2) Not find…