タグ「security」が付けられているもの


target="_blank" のセキュリティリスク(デモ動画あり)

  • 投稿日:
  • by
  • Category:

HTMLを勉強する際に最初に覚えるものの1つにa要素(タグ)があります。HTMLのアイデンティティと言っても過言ではない、ハイパーリンクを実現する大事な要素です。

href属性に設定されたリンク先のURLをどのウィンドウ等に表示するかを決めるtarget属性というものがあります。任意の値を設定してウィンドウに名前を付ける事で、複数のa要素から同じウィンドウへリンク先URLを表示する事もできますし、常に新しいウィンドウを開く_blankのような、あらかじめ挙動が設定されている値もあります。

target="_blank" のセキュリティリスク

リンクの開き方を決定するtarget要素ですが、この挙動を利用してリンク先からリンク元のウィンドウを操作できるというセキュリティリスクが公開されています。

なお、リンク先では脆弱性(vulnerability)となっていますが、脆弱性の定義や見方によっては微妙なところです。個人的にはリンク元Webサイトの機密性/完全性/可用性を損なわないため、HTML/JavaScript/DOMの仕様上のセキュリティリスクであると認識しています。

Components of the Anonabox : the Tor hardware router. Torで通信できるルータ「Anonabox」の構成要素

  • 投稿日:
  • by
  • Category:

昨年10月にKickstarterでスタートした、Torでの通信が可能になるルータ「Anonabox」は開始直後に目標額を大幅に上回った事でも注目されましたが、事前に生産された製品を使用している等の理由からKickstarterよりキャンペーンが停止されました。

その後にIndiegogoで再開し、最終的に目標額の409%に達したようです。

20150429_4.png
Kickstarterのページ「anonabox : a Tor hardware router (Suspended)」より

この製品の写真を見て、秋葉原で見た記憶があるのでちょっと調べたら販売されている事を確認しました。もしかして、これを使えばAnonaboxと同じ物を自作できるのでは?

無料・有料公衆Wi-Fiサービスのセキュリティについてと攻撃の整理

  • 投稿日:
  • by
  • Category:

日本への観光客の増加や、2020年に開催される東京オリンピック・パラリンピックに合わせて、全国で公衆Wi-Fiサービスが広がっています。最近は首都圏ではJR東日本東京メトロ・都営地下鉄でサービスが開始されました。無料で誰もがインターネットに接続できる公衆Wi-Fiサービスですが、広がりと共にセキュリティに関する話題も目にするようになりました。

読売新聞の記事では「公衆Wi-Fiのセキュリティー上の問題点」として、以下の4点を挙げています。

  • Wi-Fiのパスワードなし=暗号化なしでは盗聴される
  • 暗号化ありでも、パスワードが公開されているため盗聴の危険性あり
  • 読み取られる危険性の低い暗号化もあるが、訪日外国人の利用は難しい
  • なりすましアクセスポイントの問題(中間者攻撃)

いずれもサービスを使用するユーザが抱えるリスクですが、改めて攻撃の構成を図にして公衆Wi-Fiサービスのセキュリティについて整理してみました。

CloudFlare Universal SSLのセキュリティリスク:無料でSSL/TLSが使えるとは思わないほうがいい

  • 投稿日:
  • by
  • Category:

はてなブックマークを見てたら人気エントリでこの話題が流れてきました。

パッと見てセキュリティ的に良くない点があるため、簡単に整理します。

「トビタテ!留学JAPAN日本代表プログラム」事業で使用されているパスワードについて

  • 投稿日:
  • by
  • Category:

昨日にいい感じのExcel方眼紙を見つけてしまい、実際に見てみようと思ってググったのがはじまりでした。

上記ツイートのExcelブックは、学生の留学を支援する官民協働の制度である、トビタテ!留学JAPAN日本代表プログラムの留学願書です。Webサイトからダウンロードして開いてみたところ、ものすごい方眼紙っぷりに一瞬「ここは京都か!」と思いましたよ(京都の方スミマセン)。

そういえば、お役所のExcelシートから内部の情報が漏えいした事例があったなぁ(実践ワークシート協会)とセキュリティ的な頭に切り替えて、まずはExcelのドキュメント検査機能を使おうとしたのですが、そっけないダイアログが表示されました。

20150308_1.png

Enigmailの脆弱性(CVE-2014-5369)は1.7.2で修正されましたが根本的な問題が残っています

  • 投稿日:
  • by
  • Category:

積んでしまっていたブログネタの消化ですのでパパッと書いてしまいます。

PGP、使ってますか?

皆さんはPGPを使っていますか?メール等のメッセージを暗号化したり、ファイルに署名ができたりするソフトウェアです。IPAへのセキュリティに関する届出・相談で用いたりします。PKIのようなお堅い仕組みがなくても利用できるので、手軽にセキュリティを高めることができます。

Enigmailの脆弱性

Mozilla ThunderbirdでPGPをシームレスに使用できるアドオンがEnigmailです。今年、これに脆弱性(CVE-2014-5369)が発見されました。メールを暗号化したときにBCCの受信者へは平文を送ってしまい、BCC受信者の通信内容盗聴等によってメッセージの内容が漏えいするというものです。ご利用の方はアップデートを。

この脆弱性は現在の最新バージョンである1.7.2で修正され、BCC受信者にもメッセージが暗号化されて届くようになりました。しかし、これで問題が解消したわけではないと考えています。

秋葉原駅前の「アキバWi-Fiシリンダー」を使ってみました #akiba

  • 投稿日:
  • by
  • Category:

JR秋葉原駅の電気街口を出て右側、総武線に沿って電気街の方へ向かう途中に、街頭の周りに太く広告が付けられています。「アキバWi-Fiシリンダー」と呼ばれる、広告付きの公衆Wi-Fiスポットです。

20140805_1

写真は2014年6月時点のもので、実際に試したのもこの時で少し日が経ってしまいましたが、どのようにつながるかをご紹介します。あと利用規約とプライバシーポリシーも(笑)

運営が変わったトラックワードから退会済みユーザーへもひどい内容のメールが届いているようです

  • 投稿日:
  • by
  • Category:

トラックワードとは、ブログ内にコードとJavaScriptを置くと、検索ワードなどのアクセス解析が行えるサービスです。2013年にサービス終了の予定でしたが、運営会社を変えてサービスを継続していたようです。私のブログも登録しっ放しで、テンプレートを変えた際にページに埋め込むコードの設定をしていなかったため、放置していました。

そんなトラックワードから突然一通のメールが届きました。メルマガとかサービスに関するお知らせかな?と思ったら想像の斜め上(下?)を行っていたのでご紹介します。

「○○で検索」に潜むセキュリティリスクを #Interop Tokyo 2014で感じた話

  • 投稿日:
  • by
  • Category:

去る6月11日から14日まで、ネットワーク技術のイベントであるInterop Tokyo 2014が開催されていました。

行く予定だったのですが、仕事の都合上行けませんでした。ITニュースサイトでトピックをチェックしています。

さてここで問題です。各社の出展状況がチェックできるInterop公式アプリはどちらでしょうか?

20140614_1

セキュリティ・キャンプ全国大会2014 応募用紙 Writeup[追記:書きました]

  • 投稿日:
  • by
  • Category:

タイトルは半分ネタですw

今年もIPA(独立行政法人情報処理推進機構)主催のIT人材育成イベントであるセキュリティ・キャンプ全国大会2014が開催されます。

応募用紙に記入して提出することで申し込めますが、ネットワーク・セキュリティ・クラスのものには課題があり、これを解く必要があります。

<ネットワーク・セキュリティ・クラスの課題について> ネットワーク・セキュリティ・クラスの基礎知識を問う質問および記述式質問は、security-camp-2014-nwファイルから何らかの 方法で抽出してください。 (**このファイルから質問を入手できるかどうかも課題です**) 回答は、当該ファイルから質問を抽出した後、質問・回答の箇所をコピーし当応募用紙に張り付けてください。

やってみました。わかれば5分くらいでできる内容ですが、募集期間終了後にWriteupを書きたいと思います:-)

[追記]書きました。続きからどうぞ。

Internet Explorerを無効にする方法&Thunderbirdでリンククリックでブラウザを開かない方法

  • 投稿日:
  • by
  • Category:

Internet Explorer 6から11が影響を受けるゼロデイの脆弱性が発見されました。

対象バージョンにWindows XPに搭載されている6も含む事で、Windows XPから最新OSへの移行が進むことを期待します。

WebブラウザはInternet Explorer以外にも多々ありますので、「いっそIEをやめる!」と決意した方のために、Internet Explorerを無効にする方法をご紹介します。また、Thunderbirdのみですが、メール内のリンクによる細工されたHTMLへの誘導を防止する方法もご紹介します。

特別な事をせずにたった4つのファイルでWindows XPを消去してみる

  • 投稿日:
  • by
  • Category:

タイトルに「悪用厳禁!」とか付くタイプの方法です。思いつきで作ってみたら簡単にできましたのでご報告いたします。プログラミングなどの特別な事をせずに、Webから入手したファイルのみで行えてしまいますよ。

最終的にこうなります。

20140301_11

以前、Windows XPユーザーへ新しいPCへの買い替えをすすめる仕組みを入れましたというブログを書きましたが、別にWindows XPが憎いわけではなく、早めの移行を後押ししたいという意図があります。あまり「XPにはこんな問題があります」という後ろ向きな内容ではなく、「最新OSはこんなにメリットがあります」というほうがいいんですけどね。

Twitterスパムにフォローさせられたアカウント一覧詳細をまとめてみました

  • 投稿日:
  • by
  • Category:

今年に入ってから興味を引くような内容でTwitterアカウントのアプリ連携を行い、意図しない操作を行うTwitterスパムが流行しています。

Kangoさんのブログが非常に興味深く、多くの行われる操作をまとめています。そのうち「フォローさせられたアカウントリスト」がありましたので、これらのアカウンについてより詳しい情報をまとめてみました。情報の取得は2014/2/27 22:00くらいに行ったものです。

mixiの情報はほとんど保護されていません

  • 投稿日:
  • by
  • Category:

ログイン情報の保護のためにログインフォームはHTTPS(SSL/TLS)を選びましょう

mixiにログインする際にアドレスバーがmixi.jpで始まっているのに気付きました。最近のブラウザはHTTP接続の場合はhttp://を省略するようになっています。

※画像です
20140213_1.png

まさかパスワードをHTTPで送信していないよね?と思い、ソースを見てみました。

<input value="/home.pl?from=global" name="next_url" type="hidden">

HTTPでした。入力したパスワードはSSL/TLSで保護されていません。ちなみに「SSLはこちら」は以下のようになっていました。

<form action="https://mixi.jp/login.pl?from=login1" method="post" name="login_form">

HTTPSではそのままHTTPSへ送信しています。これに関する問題は以下のページに詳しく書かれています。

これに加えて、mixi上には同様の問題が2点ほどあります。

Android版Chrome 32のデータ圧縮時の通信を見る

  • 投稿日:
  • by
  • Category:

Android版Chromeのバージョン32が出ました。

新機能の1つに「Chromeでのデータ使用量を最大50%節約。[設定]>[帯域幅の管理]>[データ使用量を節約]で設定できます。」とあります。

20140130_1

データ使用量を節約
この機能が有効になっている場合、アクセスしたページはダウンロード前にGoogleサーバで圧縮されます。SSL対応のページとシークレットモードのページは対象外です。
また、Chromeのセーフブラウジングシステムが悪意のあるページを検出し、フィッシング、不正なソフトウェア、有害なダウンロードからユーザーを保護します。
この機能により、携帯通信会社が提供するプレミアムデータサービスへのアクセスに問題が生じる可能性があります。

Googleによる通信量削減プロキシみたいなものでしょうか。設定をONにして、ちょっとパケットをのぞいてみたいと思います。

パスワードの定期変更に関してちょっと考えを

  • 投稿日:
  • by
  • Category:

なんか盛り上がっていたので考えをいくつか。

これの、

2.パスワードの有効期間設定 パスワードに有効期限を設定し、利用者に定期的に変更させる

についてTwitterはじめ議論を呼んでいます。

いくら定期的に変更しようがリストに当たれば被害が出ます。リストが進化すればその危険性は高まります。

重要なのは、公開サービスで使用するパスワードは、リストに対する防御力を高めておく事だと思います。例えば、以下のような対策です。

  • パスワードポリシーを過度にしない範囲で設定する。
    • 特に文字数の上限は定めるべきではありません。
  • 以前使用したパスワードを許容する。
    • 同じものの再使用禁止は、一定以上で安全な文字列の量を減らす危険性があります。
    • また、利便性を著しく損ね、平易なパスワードの使用につながるでしょう。
  • 他のサービスとの使い回しをさせないように注意喚起する。

これらに加えて、上記資料内の「攻撃による被害の拡大を防ぐ対策」にある「アカウントロックアウト」は攻撃許容回数を減らすのに非常に有用でしょう。

ここまではよく言われる事ですね。

議論したい点

ちょっと珍しい方法をいくつかのサイトで見た事があります。

  • サービス提供側でIDやパスワードの前後に任意の文字列を追加指定して、安易な文字列を安易でなくする。

文字列の質が良ければ、安全性と利便性を損ねなさそうな方法ではあると思うのですがいかがでしょう。

注意

注意として、管理者パスワードは性質が異なりますので、この議論とは別に行う必要があります。徳丸さんの記事が詳しいです。

Linux系のシステムの場合は、wheelグループを指定してsuなどで管理者(root)になれるユーザーを限定するのも有効だと思います。