プライバシーポリシー

2014年12月22日月曜日

『例えば、PHPを避ける』以降PHPはどれだけ安全になったか

この記事は PHPアドベントカレンダー2014 の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が 2007年6月に大幅に更新されました 。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プ...
2014年11月7日金曜日

自宅の鍵を定期的に取り替える佐藤君(仮名)の話

パスワードの定期的変更について元々違和感を持っています。今まで、理詰めでその違和感を解明しようとしてきましたが、それでも私の頭のなかのもやもやをうまく説明できたわけではありません。そこで、パスワードの定期的変更を「自宅の鍵を定期的に変更する比喩」を用いて、そのもやもやを説明した...
2014年11月4日火曜日

ログインアラートはパスワード定期的変更の代替となるか

パスワードの定期的的変更には実質的にはあまり意味がないのではないかという議論(疑問)から出発した議論を続けておりますが、 こちら などで表明しているように、パスワードの定期的変更が効果をもつ場合もあります。 そこで、本稿ではパスワードの定期的変更の代替手段としてログインアラート...
2014年10月25日土曜日

New Class of Vulnerability in Perl Web Applicationsの紹介

Redditを眺めておりましたら以下の記事が目に止まりました。 New Class of Vulnerability in Perl Web Applications ざっくりというと以下の様な内容です CGI.pmのparamメソッドの返り値をハッシュに突っ込んでいる...
2014年10月20日月曜日

DrupalのSQLインジェクションCVE-2014-3704(Drupageddon)について調べてみた

既に日本でも 報道 されているように、著名なCMSであるDrupalのバージョン7系にはSQLインジェクション脆弱性があります(通称 Drupageddon;  CVE-2014-3704 )。この脆弱性について調査した内容を報告します。 ログイン時のSQL文を調べてみる ...
2014年10月16日木曜日

パスワードの定期的変更はパスワードリスト攻撃対策として有効か

パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度...
2014年10月15日水曜日

気づけばプロ並みPHP 副読本:お助け電子BOOKへの寄稿の顛末

谷藤賢一さんの著書『 気づけばプロ並みPHP~ショッピングカート作りにチャレンジ! 』に、発売1周年の謝恩キャンペーンとして『 副読本:お助け電子BOOK 』が公開されました(*1)。私はこの副読本の中で、『第2章 【徳丸 浩氏 スペシャル寄稿】安全なWebアプリケーションのた...