PHP7からクロージャーの即時呼び出しが可能に
しばらく前(と言っても確か今年)、PHP開発者MLにクロージャーがその場で呼び出せないのは不便だ、と書いた事があるのですが知らない間に追加されていました。
もし自分が自分に標的型攻撃を行うなら?
最近は標的型攻撃の話題で持ち切りですが、もし自分が自分に標的型攻撃を行うならどうするか?紹介します。
開発者/管理者/ユーザーが安全にWebシステムを利用する方法
Webシステムには様々なリスクがあります。より安全に利用するためのTipsを紹介します。
他の方も普通にこれから紹介する方法を使ってWebシステムにアクセスしている、と思っていたのですがそうでもないようです。これから紹介する方法でリクエストフォージェリやクロスサイトスクリプティングなどのリスクを排除/軽減できます。
リクエストフォージェリを再考 – リクエストのインジェクションと考える
リクエストフォージェリを再考してみたいと思います。リクエストフォージェリには
- SSRF(サーバーサイドリクエストフォージェリ)
- CSRF(クロスサイトリクエストフォージェリ)
- XXE(XMLエクスターナルエンティティ)
などがあります。これらは「リクエスト」を「偽装」(フォージェリ)する攻撃です。名前からは直感的にどのような攻撃なのかよく解らないですが、「攻撃リクエストのインジェクション」と考えると解りやすいと思います。
Fedora22用のPhalcon 2.0.6のSRPM
Fedora22用のPhalcon RPMパッケージを作ったのでダウンロードできるようにしておきます。
メソッド/関数呼び出しによるコード実行問題とその対策
言語の機能としてシリアライズされた”データ”からオブジェクトを生成(PHPの場合、unserialize関数)したり、呼び出すメソッド/関数を指定できる機能(PHPの場合、call_user_func関数/call_method関数など)を使ったりすると意図しないメソッド/関数が呼ばれるケースを想定しなければなりません。
インジェクション脆弱性の発生原理と対策 + ISO標準
インジェクション脆弱性の発生原理は簡単です。エンジニアではないマネージャー向けに作った資料を基に原理を紹介します。
インジェクション脆弱性は、その種類に関わらず原理は同じです。原理が同じということは、対策も同じです。一つ一つのインジェクション脆弱性がどのように作られ、攻撃されるのか?は少しずつ異なりますが、基本的な部分は同じです。別々に考えるより、一まとめに考えて理解した方が応用もでき、新しい仕組みなどが生まれた場合にも対応できます。
経営者・マネージャーが知るべき情報セキュリティ
追記:平成29年度の講座の情報は
をご覧ください。
岡山大学大学院のビジネスマインド養成講座の講義資料を公開します。
PDFダウンロードはこちら
誤字脱字、誤りなどがあったらご指摘頂けると助かります。
ISO 27000とセキュアプログラミング
セキュアプログラミングの啓蒙にも少々食傷気味ですが、今回もセキュアプログラミングの話題です。IPAのセキュアプログラミング講座Web編は削除予定であるとFacebookではお伝えしましたが、ブログではまだだったので合わせて紹介します。
ISO 27000がセキュアプログラミングついてどのように書いているのか紹介します。ISO 27000シリーズはISMS(Information Secuirty Management System – 情報セキュリティマネジメントシステム)認証の根幹となっている国際セキュリティ標準です。ISMS導入で自動的にセキュリティ問題に対応できる!といったモノではありませんが、体系的なセキュリティ導入にとても役立つ規格で2015年6月29日時点で4646組織の認証登録があります。
FedoraとVmwareとIntel Graphicsと3Dアクセラレーション
Fedoraに乗り換えて数年ですが、Intel Graphicsが3D対応しておらずVMwareのVMを起動するたびに3Dグラフィックスが使えない、とエラーメッセージが出ていました。使えるようになる方法がやっと分かりました。
徳丸さんのブログに対するコメント
最初、書いた時はユーザーが一人だけと頭にあったので思いっきり誤解していました。確かに複数ユーザーの場合は真正性に問題があります。修正版の差分をアーカイブを更新しておきました。
SMSを利用した2要素認証の脆弱性
SMSを利用した2要所認証を利用しよう、と検索される方も多いのでブログを書きます。SMSを利用した2要素認証の場合、Google認証システムを利用した場合に比べ、アプリの導入が不必要で容易に導入できます。しかし、リスクが高い部分があるので注意が必要です。
個々の脆弱性に対応する効果的な方法
全体的なセキュリティ対策やセキュリティ対策の基本的概念の話が続いたので、個々の脆弱性に対応するための効果的な方法を紹介します。前提知識なく、個々の脆弱性に対応するには、個々の脆弱性全て知る必要があります。
必要条件と十分条件 〜不十分なセキュリティ対策で大丈夫?〜
昨日、セキュリティの話をしていて当たり前のことですが見過ごしていた点を教えてもらいました。セキュリティ対策の必要条件と十分条件です。
IT以外のセキュリティ対策から学ぶITセキュリティ 〜害虫駆除より防虫〜
セキュリティ対策の基本はどの分野でもあまり変わりません。全体対策と個別対策、これらを総合的に駆使して安全性を維持します。全体対策、個別対策は両方とも”必要条件”です。全体対策だけ、個別対策だけ、では思ったような安全性を得ることは困難です。
ITセキュリティ以外の対策からITセキュリティについて考えてみます。