Googleは暗号を積極的に使っていることが知られています。暗号を積極的に使う理由を紹介します。 「信頼境界線の中で暗号を使っても、内部に侵入を許した時点で終わり」なので、「暗号を使っても意味がない」と考えているかも知れません。「リスクの廃除」だけが、セキュリティ対策ではありません。「リスクの緩和」もセキュリティ対策です。暗号は侵入を許してしまった場合のリス…

前のエントリでFirefox + NoScriptによる内部ネットワークを守る方法を簡単に紹介しました。本当はネットワークを分離（物理的またはVLAN）し、それぞれに安全に利用できるプロキシーサーバー（ローカルネットワークのリソースにアクセスさせない、など）を用意して利用する方が良い、のですがこれには”それなりのモノと手間”が必要です。 Firefox + …

信頼境界線（Trust Boundary）と境界防御はITセキュリティに限らず、セキュリティ対策の基礎中の基礎です。基礎中の基礎かつ最も重要な概念ですが習わないことが多いです。これが原因で「正しいセキュリティ対策」（≒効率的なセキュリティ対策）ができていないケースが多数あります。残念ながら”セキュリティに詳しい”とされている人でも全く理解していないケースが散…

最近、HMACハッシュ（hash_hmac）の使い方を書いてきたのでまとめです。 (さらに…)

プログラム・コードが正しく動作する為の必要条件と十分条件を考えたことがあるでしょうか？ プログラム・コードが正しく動作する為の必要条件と十分条件とは何でしょうか？ (さらに…)

岡山大学大学院工学部では一般社会人向けの無料公開講座として、ビジネスマインド養成講座を開講しています。工学部の講座ですが技術的な内容に偏重せず幅広い内容です。業務の内容に関わず、一般社会人の方に理解いただける講座です。（学生の方の参加も大歓迎です） H29年度 ビジネスマインド養成講座のご案内 H29ビジネス講座案内 (PDF) H29ビジネスマインド養成講…

映画などでPINコードを一桁づつ解析してドアを開錠する、といったシーンがあると思います。こんなのは”映画の世界だけ”と思っている方も多いと思います。しかし、タイミング攻撃を利用すると”実際にこれと全く同じ方法”で鍵となる情報を解析できます。 タイミング攻撃とはサイドチャネル攻撃の一種で、鍵情報を比較的簡単に解析する方法です。PHP 5.6からはタイミング攻撃…

コンピュータで数値を正確に扱うのは「実は結構難しい」です。つまり「コンピューターは数値を正確に扱えない」という事です。「コンピューターが数値を正確に扱えない？！何を言ってるんだ？！」と思った方は是非読んでみてください。 (さらに…)

ユーザーから整数値を受け取った時にその値が整数型の範囲内に収まるか、チェックしたいことがあります。 (さらに…)

SQLの識別子（テーブル名やフィールド名）はプリペアードクエリではエスケープできません。最近の開発者はSQLの"パラメーター”には注意を払うようになったので、SQLパラメーターによるSQLインジェクションはかなり少くなってきました。 この結果、相対的にSQL識別子によるSQLインジェクション脆弱性の割合が増えています。実際、私がコード検査を行っているアプリケ…