高木浩光流 インターネットの歩き方(後編) | ITスペシャリストに聞く | 情報セキュリティブログ | 日立システムアンドサービス
ITスペシャリスト 前編では、秋葉原に思いをはせる高木少年がセキュリティ・エバンジェリストになるまでのお話を伺いました。後編では、人気ブログ『高木浩光@自宅の日記』秘話を通じて、私たちが気をつけておきたい、否、気をつけなければならない、そして声をあげていかなければならないセキュリティの問題についてお話を伺います。話はだんだん白熱して・・・。 高木浩光(たかぎ・ひろみつ) 独立行政法人 産業技術総合研究所 情報セキュリティ 研究センター 主任研究員 1994年、名古屋工業大学大学院博士後期課程修了。博士(工学)。 同大助手を経て、1998年、通商産業省工業技術院電子技術総 合研究所に転任。2001年、独立行政法人産業技術総合研究所 に改組。2002年より同グリッド研究センターセキュアプログ ラミングチーム長。2005年4月より現職。専門は並列分 散コンピューティング、プログラミング言語処理系
高木浩光@自宅の日記 - 続・Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ 続・Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 明日から、Winny作者著作権法違反幇助事件の控訴審が始まるそうだ。個人的心情としては、金子さんには無罪になってほしいと思うが、そのためにWinnyに対する評価がねじ曲げられたり、学究的真理が歪曲されるようなことがあってはならない。このことについては地裁判決が出る前日の日記に書いた。 Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根, 2006年12月12日の日記 それから2年もの月日が流れたが、その間にも懸念していた状況は続いた。特に、一審では検察側が、作者がアップデートを続けていたことを幇助とみなす理由の一つとしたことから、アップデートが許されないことによってウイルス被害が続出しているというアピールが展開された。金子氏本人も一審の公判で、フラッシュメモリを手にとって裁判長に見せるアピールをしていた。ソ
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
「Winnyは既に必要な技術ではなく、危険性を認識すべき」高木氏講演
大阪弁護士会館で17日、情報処理技術と刑事事件に関するシンポジウムが開催された。シンポジウムは、Winny事件の判決を契機にIT技術と刑事事件を考えるという内容で、大阪弁護士会刑事弁護委員会、情報処理学会、情報ネットワーク法学会が共同で主催した。 シンポジウムでは、Winnyの開発者である金子勇氏によるWinnyの概説や、ファイル共有ソフトに関する刑事法的な問題点など、技術と法律の両面からWinnyやファイル共有ソフトの問題点についての講演が行なわれた。午後の講演では、産業技術総合研究所の高木浩光氏が「ファイル共有の抱える技術的な問題点」と題して、セキュリティの観点から見たWinnyの問題点を語った。 ● Winnyは「人が望まない」ことを止められない点が問題 高木氏はまず前提として、「Winnyがどのような目的や意図で開発されたのかという話とは無関係に、結果としてのWinnyを基に議論を
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - ワンタイムパスワードは何のためにあるのか
■ ワンタイムパスワードは何のためにあるのか 先月、ジャパンネット銀行から「SecurID」が送られてきた。RSAセキュリティのワンタイムパスワード生成器(以下「トークン」)だ。ジャパンネット銀行は全口座の利用者に対してこれを配布している。 届いた郵便物には図1の案内状が入っていた。 ここに書かれていることは事実でないので、信じてはいけない。 2. トークンはスパイウェアに監視されないので安全です。 トークンはパソコン、携帯電話などと一切の通信を行いません。万が一パソコンや携帯電話がスパイウェア(不正プログラム)に感染しても、トークンに表示されたワンタイムパスワードが監視されることがなく安心です。 これを読んだユーザは、「今後はダウンロードした .exe ファイルを安心して実行できる」と思ってしまうかもしれないが、トロイの木馬(不正プログラム)を実行してしまっては、たとえこのワンタイムパス
高木浩光@自宅の日記 - リンクの話 まとめ
■ リンクの話 まとめ リンクの論点はそれはもう大昔から出尽くしていて、同じことが品を替え形を変えて延々繰り返し語られているわけで、わかっている者には今更すぎなのだけど、次々新しい人達は入ってきているわけだから、少しでも新しいパターンを見つけるなりして退屈しない方法で繰り返しているわけだけども、ここへ来てどうやら本当に変革の時期が来たような期待感もあるので、あらためてまとめも書いておくとする。 まず、企業や官公庁などの団体のWebサイトにける無断リンク禁止条項の問題と、個人のWebサイトにおけるそれとは明確に区別することを踏まえないといけない。団体のサイトは、その全てが、明らかに不特定多数の公衆に見てもらうために設置されている。それに対し、個人のサイトは必ずしもそうとは限らない。 団体のサイトの場合を簡単にまとめると、本当は見て欲しいはずなのに、見て欲しくないかのような「リンクポリシー」を
高木浩光@自宅の日記 - 無思慮なサイト運営者が本来言わんとすることを利用規約の形式で書いてみた
■ 「無断リンクは禁止とします」について栃木県警に聞いた 今年もネットワーク・セキュリティ・ワークショップ in 越後湯沢(今日の昼まで開催)に行ってきた。毎年、各都道府県警察の情報技術犯罪の捜査に携わる警察官の方々の参加がある貴重な交流の場だ。例年通り、夜の車座会議には警察関係の会場が設けられ、今年もそこに潜入したが、今年はいつになく警察以外の参加者との議論が活発になった。 ところでそれとは何ら関係ないが、栃木県警察のWebサイトには「サイトポリシー」として次のように書かれている。 リンクについて 当サイトへリンクされる場合は、リンク元のサイトの運営主体、リンクの目的及びリンク元のページの URLを事前にご連絡ください。無断リンクは禁止とします。 また、当サイトからリンクしているサイトの内容に関して、栃木県警察はいかなる責任も負いません。 リンク先サイトの内容に関するお問い合わせはそれぞ
高木浩光@自宅の日記 - 編集長が見て見てと言うので買ったネットランナー5月号の仰天内容
■ 編集長が見て見てと言うので買ったネットランナー5月号の仰天内容 4月12日の日記「Winny利用教唆本のセキュリティ対策指南、その仰天内容」のリンク元を辿ったところ、 今月Winny特集やってるから、高木さんに取り上げてほしいなあ。 d.hatena.ne.jp/kgoutsu/, 2006年4月13日 という記述があった。どうやらこのブログ主は、「ネットランナー」の編集長の方らしい。 たしかに、Winnyの話題で「違法行為を蔓延させた刑事責任は出版社にある」という指摘が出てくるときに真っ先に槍玉に挙がるのは「ネットランナー」であることが多いが、実際のところ同誌はそれほど悪質なものではなく、セキュリティ対策をキチンと啓蒙するなどの良い点もあるとの主張を耳にすることもあった。 ネットランナーはほとんど読んだことがない*1ので、昔どういう内容だったとかは知らないが、編集長がこうおっしゃるく
高木浩光@自宅の日記 - 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか
■ 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか こんな記事が出ていた。 「3年で陳腐化するWebサイトの構築には軽量言語のほうが向いている」,日本Rubyの会,高橋征義会長, 日経ソフトウェア, 2006年2月10日 高橋氏は「Webサイトは構築してから3年経つと陳腐化する」と指摘する。ただ,壊れたわけでもないWebサイトを3年でリニューアルするには,事前に顧客と話をつけておく必要がある。3年で捨てる予定のアプリケーションの予算は少ない――これが,WebにはPHPやRubyといったLLが向いている理由である。Javaのような重量級の言語だと,10年持ちそうな設計や構造のアプリケーションを作ることになり,費用もそれなりに高額になってしまう。 それは話が逆だろう。「10年持ちそうな」という言葉で比喩されるような、つまり、しっかりとした設計や構造のアプリケーションを作ると
高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
高木浩光@自宅の日記 - ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1), JPCERT/CCの判断力も蝕む サニタイズ脳の恐怖
■ ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1) ジュンク堂本店の「PHP」コーナーで一番目に付く位置に飾られていた本を読 んでみた。 改訂新版 基礎PHP, 山田祥寛監修、 WINGSプロジェクト(本田将輝、山葉寿和、斉藤崇、森山絵美、渕幸雄、青島裕、山田奈美)著, インプレス, 2004年10月1日初版発行 2005年12月11日第1版第5刷発行 帯の宣伝文句はこうだ。 PHP5で作るWebアプリケーション 待望の改訂版登場! 最新機能まで踏み込んだ内容と、必要な環境を収録したCD-ROMで、着実に学ぶ 着実に……ですか。 最初の動くサンプルコードはこうなっている(p.72)。 <html> <head><title>hello_world.php</title></head> <body> <?php $var_str="Hello World"; print ($var
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://b.hatena.ne.jp/HiromitsuTakagi/20070403
高木浩光@自宅の日記 - はてブを使うことにした
NHKオンライン