Ask @tokumaru:

セキュリティ対策を強化したいので、徳丸先生のブログやtwitterを社内で見るように促しています。何か他に説得する妙案があれば是非ご教授いただきたい。

もうちょっと具体的に書いていただかないと、アドバイスは難しいです

View more

C言語とJavaとRubyとPHPだけでも、セキュリティエンジニアになれますか?

プログラミング言語に関してはこれらで十分ですが、むしろ、質問の意図を明確に伝える日本語が書けるようになることが、より重要かと思います。プログラミング言語に関しては、セキュリティのジャンルによっては別の言語が必要となる場合もあると思いますが、それは今後必要に応じて勉強すれば問題ないでしょう。

View more

取得したプログラミング言語を教えてください

今まで開発者としてお仕事で使った言語はFortran、C、C++、VisualBasic、Java等です。そうそう、Smalltalkを一つのプロジェクトで使いましたね。
それ以外に趣味でPascalコンパイラをPascal言語で書いたことがあります。ライブラリ用にちょびっとアセンプリ言語も使いました。
セキュリテイのお仕事では、Perl、PHP、Ruby、Pythonを少しずつ使っています。

View more

ログインIDがメールアドレスになっているウェブサービスではパスワードの強度を高めるよりも非公開のメールアドレスを使ったほうが手っ取り早くセキュリティを強化できると思うのですがいかがでしょうか?

サイト毎に異なるメールアドレスが使えるのであれば、利用者側施策としてアリだと思います。僕もそうしています。パスワードが安直でよいわけではありませんが

View more

古楽がお好きですか?

はい。ハンドルネームをOckeghem(オケゲム)にするくらいですからね。小学校の音楽の時間に聴いたバッハの小フーガに衝撃を受け、以来、対位法の音楽にのめり込んでいきました。オケゲムやジョスカン・デ・プレ等のミサ曲は大好きなジャンルの一つです

View more

徳丸先生のブログを拝見していると、言葉にできずにいたモヤモヤが、すっきり解消されます。 セキュリティ界の小林秀雄とお呼びしていいでしょうか?

私は小林秀雄の著作を読むとモヤモヤします。長いこと読んでないので今読むと違うかもしれませんが

View more

初歩的な質問で申し訳ありませんが、 あるサイトにログインし、ログアウトせずにブラウザ画面をすべて閉じ、 再度、同じURLにアクセスしたときは、、 通常、自動でログアウトされているのが普通ですよね?

「通常、自動でログアウトされているのが普通」とは言えません。最近のWebサイトは自動ログインを備えているものが多く、その場合一旦ブラウザを閉じてもログイン状態が継続します。自動ログインが必ずしも危険とは限りません。ログインの回数が少なければ、長いパスワードをつけても利用の負荷が小さいからです。利用者の意識しだいというところはありますが。

View more

ドメインを取得したいのですが VALUE DOMAIN はパスワードリセットの方法が変だしパスワードの変更や退会操作にパスワードを要求しないし、お名前.com は http://wp.kaz.bz/tech/2012/07/20/1222.html の件で印象が悪いです。識者のみなさんはどこのドメイン取得サービスを利用しているのか知りたいです。

僕もぜひ知りたいのでどなたか教えて下さい

View more

Apache で Require all denied と書かれていて、ドキュメントルート以下のディレクトリでBASIC認証をするため .htaccess を設置して、更により深い階層で認証不要にするため Satisfy Any と書いた .htaccess を設置すると、そこ以下では .ht から始まるファイルが外部から読めてしまいます。冒頭の記述に Satisfy All を書けばよさそうですが apache2.conf には Satisfy が書かれていませんでした。このことに関連する情報や事例をご存知でしょうか。

このような個別具体的な質問はスタック・オーバーフローなどにお願いします

View more

パスワードのハッシュ管理で、ソルトは秘密情報ではない(バレてもいい)のはどうしてでしょうか?ハッシュがバレた場合に元パスワードが探索されてしまいませんか?

積極的にバレてもいいと言うことではないのですが、ハッシュ値が漏洩するような状況ではソルトだけ秘密にしておくことは難しいという判断によるものです。
仮に「絶対に漏洩しない保存手段」があるのであれば、
(1)パスワードをその方法で保存する または
(2)暗号鍵をその方法で保存してパスワードの暗号化する
方が安全です。とくに(2)は、ハードウェア セキュリティ モジュール (HSM)という形で実現しています。しかし、HSMは高価なことから、廉価で安全性も高い方法として、(最悪バレるかもしれない)ハッシュ値とソルト、加えてストレッチングという方法がよく使われます。
例えばソルトをDBとプログラムハードコーディングに分けて保存すると、片方だけバレても平文パスワードの復元は難しいという状況は作れます。拙著で紹介している方法です。

View more

外部入力のないwebサイトをphpでつくるときには、xss対策は必要ないのでしょうか?

ご質問に対する答えは、YESでありNOです。
外部入力が、HTTPリクエスト、メール、ファイル、DB等を含めてまったく存在しないのであれば、XSS攻撃の経路がないので、XSS攻撃はできません。そのため、XSS攻撃の対策も不要ということになります。
しかし、XSS対策として通常実施するHTMLエスケープ、属性値をダブルクォートで囲む、HTTPレスポンスヘッダに文字エンコーディングを指定する…などが不要になるわけではありません。これらは「攻撃を防ぐ」ために実施するわけではありません。これらは、開発者が意図した通りの表示にするために必要な処理だからです。
このため、攻撃の経路があろうが、なかろうが、XSS対策と同等のことは元々Webシステムではやらなければならないこと、ということです。ご質問の答えがNOでもあるというのはそういうことです。

View more

Next