悪意のあるページからブラウザを保護する為のフィルタリングツールにはクライアントにインストールするタイプ、プロキシタイプなどある。これらのツールは本当にクライアントを保護できているのだろうか? 最近の攻撃は悪意のあるサイトにアクセスしなくても、広告から悪意のあるサイトに誘導されたり、SQLインジェクションやネットワークレベルの攻撃で悪意のあるページへのifra…

「プログラミングはホワイトリスティングが基本」にブラックリストもホワイトリストもどちらも同じ事を言っていて違いが分からない、とコメントを頂きました。 追記：ブラックリストとホワイトリストの違いが解らない方は、恐らくホワイトリストの基本中の基本は”デフォルトで全て拒否する”であることを理解していないのだと思われます。全て拒否した上で、許可するモノ、を指定しない…

このエントリは何年も前（日付を見たら2008年８月）に書きかけで放置していたエントリです。最近書いた、セッションアダプション脆弱性をPHPのモジュールレベルで修正するパッチについての議論の参考になると思うので公開します。私は補助的な意味合いを持つ追加のセキュリティ対策は無意味であるとは全く考えていません。対策の限界を知って、有効に利用する。それで良いのでは無…

「ホワイトリスト方式の優位は神話」と題するエントリに私のブログホワイトリストはどう作る?　が引用されている事を教えていただきました。 誤解されないように書こうとすると、どうしても長文になります。暇な方だけお付き合いください。

Googleがクラウドコンピューティングの言語としてPythonを採用したのでセキュリティ研究家が脆弱性を調査し、今年はPythonの脆弱性が多く報告されるはず、とこのブログで予想しています。また新たな脆弱性が報告されているので書いておきます。 今回は整数オーバーフローが多いので、整数オーバーフローを中心に調査したのだと思われます。 Python 2.5.3…

桝形さんから http://blog.ohgaki.net/php-5-2-strict-session　 で公開したパッチのPHP4.4.8版を送っていただきました。私のWikiにも添付ファイルとして掲載させていただきました。 http://d.hatena.ne.jp/masugata/20080714#p2 に掲載されているパッチと同じパッチです。 私…

随分前からバージョンアップしたパッチ公開しないと、と思いつつ遅れていました。PHP 5.2.6用の厳格なセッション管理を行うパッチを公開しました。詳しくはWikiをご覧下さい。 http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession 他のネットワークからパッチをダウンロードしようとして、セキュ…

Flash Playerのバージョンアップがなかなか進まないようです。 先月末にあったSymantec社の0Day攻撃の誤報のおかげでかなりバージョンアップが進んだのですが、残念ながらまだまだのようです。例えば、先週1週間のこのブログへのアクセス集計では既知の脆弱性が無い9.0.124を利用していたのはたったの40%です。 バージョンアップが進まない原因には…

中国でのソフト開発が進められています。例えば、 「NEC、中国のソフト開発体制を強化−5000人にトレーニング開始」 http://enterprise.watch.impress.co.jp/cda/topic/2008/06/11/13158.html 人件費が圧倒的に安い中国ですがセキュリティの問題も考えなければなりません。中国政府の機関が直接関与して…

追記：この件、どうも0dayでなく既知の脆弱性の問題だったということで決着しているようです。情報ありがとうございます。ただ、このブログにアクセスしている方でもgoogle analyticsによると脆弱性の無いバージョンだと分かるFlashを利用している方がたったの16.6%です。前のバージョン(9.0.115)の利用者は31.78%です。残りのユーザもほと…