パスワードを入力する際に、キーボードの図が出てきてマウスクリックでキーボード入力の代替にするやつ。キーロガー対策になるらしい。
高金利につられて新しく銀行口座を開設したが、そのオンラインバンクでパスワード入力時にソフトウェアキーボードをOFFにすると、「より安全にご利用いただくために、ソフトウェアキーボードの使用をお勧めします。本当によろしいですか?」と不安をあおってくる。面倒だからソフトウェアキーボードを使ったことはないが、本当は使った方がいいのか気になったのでここで聞いてみる。
自分のPCにキーロガーを仕組まれている時点で既に情報を盗まれているはずなので、ソフトウェアキーボードを使ったところで無意味ではないか? ソフトウェアキーボードを使用しても、画像を不正にキャプチャーされたら結局パスワードは盗まれるのではないか?
ソフトウェアキーボードを使用している人は、他人のPCだろうと汚染されたPCだろうと「ソフトウェアキーボードだから大丈夫さ」などと楽観的に考えているのだろうか?
スターバックスの無線LANは危険だという話を聞くようになった。
曰く、暗号化されていないし通信もセパレートされていないのだという。
これは裏を返せば「暗号化」されている公衆無線LANサービスは危険ではないと皆が考えているのだろうか?
だがそれは違うのである。WPA2-PSK(AES)を提供している公衆無線LANとスターバックスの無線LANサービスの間に危険性の違いが無い事を以下に示したいと思う。
まず前提知識として無線LANの暗号にはPSK(事前共有鍵)とEAP(拡張認証プロトコル)の二種類があるということを知っておいて欲しい。
ここでお話するのはすべてPSKに関する話である。WEPもWPA(2)-PSK(TKIP,AES)やらもすべて分類としてはPSKだ。
もしEAPを使用した公衆無線LANサービスがあればそれは別である。
さて、PSKで「暗号化」が提供されている無線LANサービスは利用するにあたって店側から接続するためのキーを渡されることになる。これは全員共通のものだ。
もう一度言おう。全員が同じ鍵を使っているのだ。
これが何を意味するかというと通信の開始時に別の鍵を作るような仕掛け(DH鍵共有など)をしないかぎりは、他の人の暗号化された通信も復号することが可能だという事である。
事実、Wireshark(ネットワークエンジニアがよく使うツールだ)を使えば通信の傍受から他人の通信の復号まで全部できてしまう。
では通信がセパレートされていないことについてはどうだろうか。
ここでいうセパレートとは同じ無線LANに繋いでいる他の人のPCと通信ができないようにすることだ。
通信をセパレートしておけば仮にWindowsのファイル共有が有効になっているようなPCを繋いでもPC内のファイルにアクセスされることはない……本当にそうだろうか?
あなたが悪意を持っているのなら実に簡単な方法がある。偽のアクセスポイントを設置すれば良いのだ。
ユーザから見てそれが本物のアクセスポイントか判別する手段は何もない。接続するための"共有"鍵はみんな知っているのだから。
お分かりいただけただろうか。暗号化されていても通信がセパレートされていても公衆無線LANというものは全く安全ではないのだ。
であるからして、暗号化されている公衆無線LANだろうと、暗号化されていない公衆無線LANだろうと、利用者としては同じだけのセキュリティを用意して使用しなければならないのだ。
スラド http://slashdot.jp/slash/10/09/24/1641224.shtml より
MicroAD社VASCO ADサーバーを使用している各所のサイトで versus.ipq.co のiframeが挿入され、それによりセキュリティアラートの出る ats.redmancerg.net へ誘導される模様
対象のサイトはslashdot.jp他OSDNの各サイト(ADサーバ変更により対処済み)のほか.redmancerg.netのツイート検索結果によると未確認ながら以下でも発生していた模様。
現在(04:24)は収まっている?まだまだ?
私は単なる一増田でしかないのだが、なんとなく今日を増田的情報セキュリティの日とすることに決めた。
なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ、2月2日からきっかり103日前だからである。
決して、はまちちゃんとエガミ君のやり取りがあったとか、増田はセキュリティ関連の話題に乏しいとか思ったからではない。
さて、一口にセキュリティといっても、その幅は広い。まずは定番から攻めるのが定石であろう。何が定番なのかについては、例えば「Webアプリ脆弱性オタがふつーのSEの彼女に脆弱性世界を軽く紹介(ry」などが参考になるだろう。
しかし、たとえば「初心者はPHPで脆弱なウェブアプリをどんどん量産すべし」といったような初心者には、まずは10というよりも1から脱初心者していただくのがよいであろう。
そんなわけで、今年のテーマはXSSとする。繰り返すが、はまちちゃんとエガミ君のやり取りがあったとか、XSS以外のネタが少ないとかではない。
さて、このように、今年のテーマはXSSとなった。それではXSSとは何か、どのように起き、どう対処すればよいのか、そのような実例ちょうど良いエントリが「エガミくんの脆弱性のやつ」である。
さらに、このエントリをよんで、実際に「XSSしたい><」と思った人に読んでいただきたいのは「今昔さっき物語」であろうか。
さて、非常に簡単にXSSについて書いたが、このXSS、実はその他のさまざまな脆弱性の基礎でもある。
出力がHTMLならXSSだが、SQLならSQLインジェクションだし、シェルならコマンドインジェクション、メールヘッダならメールヘッダインジェクション等々になりえる。とくに、初心者にとってシェルは予想外のところで使われているから、気をつけよう。
その他セキュリティに関心があればsecurityタグをお勧めしたい。セキュリティよりもsecurityの方が濃いのである。