セキュリティースレッド

[0001 名無しさん＠お腹いっぱい。 2001/07/13(金) 22:56 ID:E2ZAzpeM]

ウェブプログラミング関係のセキュリティー関連スレッド

http://www.japu.org/sa/
http://www.lac.co.jp/security/information/Cgisecurity/
http://www.w3.org/Security/faq/001031wwwsfj.ja.sjis.html
http://www.cert.org/tech_tips/cgi_metacharacters.html
http://www.w3.org/Security/

[0202 nobodyさん 2007/07/09(月) 07:48:28 ID:???]

どんな不備かｋｗｓｋ

[0203 nobodyさん 2007/09/06(木) 22:00:53 ID:OvtHfWTA]

fusianasan

[0204 nobodyさん 2007/09/07(金) 00:08:55 ID:???]

数字のみの総当たり攻撃からﾊﾟｽﾜｰﾄﾞを守るには…
0000232
というパスを文字列として認証すれば大丈夫ですかね？

[0205 nobodyさん 2007/09/07(金) 05:42:47 ID:???]

>>204
バカ発見

[0206 nobodyさん 2007/09/07(金) 05:58:38 ID:???]

釣り

[0207 nobodyさん 2007/09/12(水) 21:12:43 ID:???]

CSRFやXSSの脆弱性って、腐るほどありますね。

[0208 nobodyさん 2007/09/21(金) 15:18:30 ID:ChIVEQuV]

なかなかよい会社だったよ
http://www.tyranno.co.jp/

[0209 nobodyさん 2007/09/21(金) 18:07:00 ID:???]

しらんがな

[0210 nobodyさん 2007/09/27(木) 18:49:15 ID:???]

>>207
ページ間の遷移がしっかり設計できてないと穴だらけになるな。
それさえできてれば大丈夫ではないが。

[0211 nobodyさん 2007/12/09(日) 09:49:39 ID:xonW/myH]

ttp://takagi-hiromitsu.jp/diary/20060409.html
ちょっとこれ是非も含めて三行でまとめてくれ

結局どうするのがいいんだ

[0212 nobodyさん 2007/12/09(日) 12:31:58 ID:???]

まず続きを読めよ

[0213 nobodyさん 2007/12/09(日) 20:12:50 ID:???]

ややこしいことなんてする必要なし
ってことだろ？

[0214 nobodyさん 2008/06/04(水) 11:26:41 ID:iHjER+/w]

jp2.php.netがさくらのルータクラックの被害にあってたらしいぞ

ソース：さくら専鯖スレ

[0215 nobodyさん 2008/06/04(水) 14:14:35 ID:???]

>>214
懐かしい話題だな。

[0216 nobodyさん 2008/06/05(木) 01:32:35 ID:???]

>>215
おいおまい、jp2のﾏﾇｱﾙを参照してたんだが、ｳｲﾙｽｽｷｬﾝは必要か？
ちなみにｾｷｭﾘﾃｨｿﾌﾄは期限切れで使えない

[0217 nobodyさん 2008/06/05(木) 11:41:12 ID:???]

>>216
セキュリティソフトをなんとかしろ話はそれからだ

[0218 nobodyさん 2008/06/12(木) 02:36:11 ID:aNIzmTBv]

takano32,TAKANO Mitsuhiroこと高野光弘（日立製作所社員、日本UNIXユーザ会幹事）が、
自身の『32nd diary』で公然と日立の機密を開示し、障害者差別発言をしている問題。

1981年11月12日　千葉県のディズニーランドのそばで誕生
2001年4月1日　千葉大学に入学
2005年4月1日　千葉大学大学院へ進学、日本UNIXユーザ会に入会
2007年4月1日　日立製作所に入社、神奈川県秦野市の寮へ
2007年8月22日　「ついに職場で人が倒れた」と公表
2007年11月13日　「情報漏えい」を言う上司に「死んだほうがいいよ」と暴言
2007年12月28日　「社内システムクソうんこ」と発言し、仕組みも暴露
2008年5月23日　機密漏洩問題について一応の謝罪
2008年5月26日　「給料泥棒とかうんぬん言われた」と謝罪を忘れて告白
2008年5月27日　「心バキバキ川田くん」と前日の発言者の名前を公言
2008年5月31日　「キチガイ」と日立のユーザーに障害者差別発言を連発

2006年10月27日（日立製作所に入社前に忠告されたこと）
「日記やコメントの投稿日時から勤務時間に業務外のことをしていることが判明」は
某社の某親会社が 2ch で祭られたように、NG です。

6月も勤務時間中に更新し続ける高野光弘君の『32nd diary』にツッコミをどうぞ

[0219 nobodyさん 2008/06/18(水) 03:38:14 ID:L/0lP+ed]

Cookieデータってブラウザの何かの設定ファイルとか手書きで
編集とか出来たりしますか？クッキーにID入れておいて次回表示時に
IDとパスワードを自動的にテキストボックスに値を戻す
プログラムを組んでるんですが
誰かがクッキーの値を盗んで他のマシンにそのクッキー値を手書きで
書かれてしまったらパスワードとか盗まれて
セキュリティー上問題があります。

[0220 nobodyさん 2008/06/22(日) 20:16:40 ID:???]

セキュリティー上問題があります。

[0221 nobodyさん 2008/08/30(土) 11:46:56 ID:???]

ttp://gihyo.jp/dev/serial/01/php-security/extra/001217
ttp://gihyo.jp/dev/serial/01/php-security/extra/001218

ここで１７で言ってる秘密のsalt（saltって一般に別のものを指すのが普通だと思うが）と、
１８で言ってるチャレンジレスポンス認証を両立させる方法があるなら教えてくれ。

[0222 nobodyさん 2008/11/17(月) 19:30:44 ID:+x4gvrpS]

>>219
今、私もそれで悩んでたんですけど
テキストボックスにパスワードを戻すってことは
どっかに平文のパスワードを入れなきゃならないんですよね。

まあ、cookieかDBってことになるんでしょうけど
cookieなら盗まれても一人ずつだけど、DBは下手すると全員のパスが盗まれることもあるじゃないですか。
どんなに、気をつけてつくっても、例えばDBに直接接続できるスタッフとかは防ぎようないし。

まあ、セキュリティー的に問題あるといえばあるけど、ようはトレードオフだと思うんですよ。
例えばワンクリックショッピングなどはやめた方がいいし、簡単なアカウント機能なら、つけたほうが断然便利だし
特に、使う人がパソコン使い慣れていないと、毎回入力するのなんてありえないと思うんですよね。

色々考えた結果潔くcookieに平文パスワードしまっちゃおうと思うのですが
どう思います？他に何か良いアイデアありますか？

[0223 nobodyさん 2008/11/18(火) 01:37:11 ID:???]

IEのID覚える機能でいいじゃん
どっちにしてもパスワード生でCookie保存はやばい

[0224 nobodyさん 2008/11/18(火) 01:39:46 ID:???]

この御仁の記事は微妙に突っ込みたくなったりもするんだが、
http://gihyo.jp/dev/serial/01/php-security/extra/001208
とりあえずこれに関してはまあ参考になるんでね？

[0225 nobodyさん 2008/11/18(火) 03:53:39 ID:???]

クッキーのパスワード暗号化ってフォームのパスワードが*****になるのと
同じぐらいの効果しかないだろ
銀行のパスワードと糞掲示板のパスワードをいっしょにしてて、
誰かに覗き見られたり、抜かれたりして被害を被っても、
んなもんはユーザーが悪い

[0226 nobodyさん 2008/11/18(火) 11:17:36 ID:???]

何を言ってるの？

[0227 nobodyさん 2008/11/21(金) 10:36:25 ID:???]

パスワードなんてその都度入力させればいい。
5分かからないだろ。

[0228 nobodyさん 2008/11/28(金) 22:42:07 ID:FLoAQsXc]

 hiddenは危険脳
ってやつは信じていいのか。ページキャッシュとしてhiddenの値が残るのは考慮にいれなくていいのか？

[0229 nobodyさん 2008/11/28(金) 23:31:44 ID:???]

＞hiddenは危険脳
の意味が分からない。

ああ、ゲーム脳とかそういう脳か？
どっかで誰か言ってるの？

hiddenじゃ危険てかそういう意味じゃ基本的にみんな危険だけど、
使い方によるわな。

[0230 nobodyさん 2008/11/28(金) 23:32:46 ID:???]

おお検索したらなんか出てきたわｗ

[0231 nobodyさん 2008/11/29(土) 15:22:36 ID:???]

でみんなどうしてる?

[0232 nobodyさん 2009/04/13(月) 11:57:09 ID:???]

PHPでウェブプログラミングしています。
GET変数について詳しいかたがいらっしゃったらお聞きしたいことがあるのですが…。

GET変数は、「変数がURLに埋め込んで渡される変数」という理解で間違いないでしようか？
必ず「…?…」の形で渡されるという考えでよろしいのでしょうか。
それとも、なにか特殊なURL記述方法でGET変数を渡せたりしますか？

よろしくお願いします。

[0233 nobodyさん 2009/04/22(水) 02:38:48 ID:57zKWx3g]

有名なサイトで会員登録の時にJavaScript入れたら弾かれつつも動くんだが、
これってXSSになるのか？

[0234 nobodyさん 2009/05/05(火) 13:39:50 ID:???]

>>222
複合可能な暗号にして、パスワード・ユーザー名などをまとめて暗号化したら？

[0235 nobodyさん 2009/05/05(火) 22:46:18 ID:???]

どうやってそういうの安全にやるわけ？
IEの保存機能に任せるんでないなら、
安全にするにはどうせサーバ側でやるしかないんだから、
もはやIDとパスワードって方式にする必要ないでしょ。
>>224のリンクみたいな感じでやりゃいい。

[0236 nobodyさん 2009/10/09(金) 09:56:52 ID:WcuIFqLs]

ttp://d.hatena.ne.jp/IwamotoTakashi/20091006/p1
PHP板の人間にとってはちんぷんかんぷんだろうなｗ

[0237 nobodyさん 2009/10/13(火) 15:56:34 ID:ICZgWXYU]

実証サンプルコードとどう直したらいいのかが併記されてないとｗ

[0238 nobodyさん 2010/02/18(木) 20:12:41 ID:???]

同一ドメインのURLを呼び出すiframe内のdomへのアクセス制限をサーバー側のアクションでかける方法か、
サーバー側でiframeからのアクセスを拒否する方法はありませんか？

[0239 nobodyさん 2010/04/20(火) 22:19:18 ID:cFW60NlN]

最近うちの弟が妙に金持ってる思ったら
こんな所で稼いでやってやがったよ！！
http://okamikakushi.net/jp/8ned1qi
なんかムカつくから、俺も明日やってみるわ(ﾜﾗ

[0240 【32.4m】 電脳プリオン ◆3YKmpu7JR7Ic 2012/06/17(日) 22:09:19.35 ID:???]

　　∧＿∧
　 （　・∀・） 　　 　 |　| ｶﾞｶﾞｯ
　と　　　　） 　　 　 |　|
　　 Ｙ　/ノ 　　　　 .人
　　　 /　） .人　　 < 　>_∧∩
　 ＿/し'　< 　>_∧∩｀Д´）/
　（＿フ彡　Ｖ｀Д´）/　　 / ←>>125
　　　　　　　　 　 　/ ←>>120

[0241 nobodyさん 2012/08/17(金) 20:33:54.62 ID:???]

CSRF対策というのは
認証されている状態であってもシステム側が用意したページ以外のリクエストは受け付けない
でよろしいでしょうか？

[0242 nobodyさん 2012/08/18(土) 13:19:08.76 ID:???]

>>241
論理的にはそうなるね

[0243 nobodyさん 2012/09/15(土) 18:47:30.21 ID:???]

http://www.symantec.com/connect/blogs/facebook-csrf
facebookでCSRFを突破した方法
１．ユーザに偽のページを開かせる
２．どうにかしてＴＯＫＥＮを含むページをコピペさせる
３．攻撃者のサイトで解析をしウマー
こんな攻撃どうやって防ぐんだよ…

[0244 nobodyさん 2013/01/21(月) 02:03:04.91 ID:???]

ファイルを暗号化してて鍵を変更したいときにファイルを暗号化し直さないで済む方法ってある?
WindowsのEFSは共通鍵生成してそれでファイルを暗号化してその共通鍵をさらに別の鍵で暗号化してるらしいけど
他に良い方法があれば

[0245 nobodyさん 2013/03/16(土) 21:58:24.47 ID:???]

OAuth認証でサイト制作者はコールバックURLを自分のページにしてそこで
リクエストトークンとverifireを保存しようと思えば保存できてしまいますよね
この2つから制作者はconsumerkeyとシークレットを持っているので
アクセストークンを受け取れてしまうのでしょうか？

サードパーティの制作者は情報を抜き取ってアクセスはできないという
証明が欲しいのですが

[0246 nobodyさん 2013/03/26(火) 08:57:57.15 ID:???]

いやOAuthってそういうもんだろ。
製作者が受け取れてしまうもクソも、受け取って使うんだよ。
ユーザーはクライアント(>>245のいう製作者)を信頼し
サービスアカウントに対する自由なアクセスを許可する。

[0247 nobodyさん 2013/07/15(月) NY:AN:NY.AN ID:???]

重複アカウント対策に電話番号認証を組んでます。
過去に認証した電話番号かをチェックする必要があるんですが、電話番号
自体は流出が怖いので保存したくありません。かといって電話番号は
数が限られているので、ハッシュも総当たりで掘られてしまいます。
ハードコーディングしたsaltを付けてもソースが流出したら(以下略
こういう時、みなさんならどういう設計をしますか？

[0248 nobodyさん 2014/02/21(金) 20:55:50.05 ID:???]

セキュリティースレッド

[0249 nobodyさん 2014/05/31(土) 20:40:37.81 ID:nnOxUkCb]

過疎ってるな

[0250 nobodyさん 2014/05/31(土) 21:29:31.52 ID:???]

そもそも2ちゃんねらーってセキュリティの話題が苦手だからな
セキュ板見てみろ

[0251 nobodyさん 2014/06/18(水) 01:55:32.52 ID:???]

http://54.178.166.242/

[0252 nobodyさん 2014/06/21(土) 15:44:00.96 ID:???]

サイボウズ、サービス脆弱性報告に対する報奨金制度を開始

これやろうぜ！