2005年03月23日(水)
<< 前の日記 | 次の日記 >>
これまでの03月23日
編集
■1
受け入れテストセキュリティチェックリスト for Webアプリケーション[http://www.geocities.jp/ikepy0n/securitycheck.html][セキュリティ]次の記事 >>
Tweet
otsuneさんとこ[http://www.otsune.com/diary/2005/03/22.html#200503223]
から。
「発注したWebアプリケーションの開発が終わって、納品されたときにやっておくべきセキュリティチェックの為のリスト」という立場が良いですね。
開発者がチェックするのは当然。
「発注したWebアプリケーションの開発が終わって、納品されたときにやっておくべきセキュリティチェックの為のリスト」という立場が良いですね。
開発者がチェックするのは当然。
■ 関連記事
- 個人情報保護のための講演会で個人情報を流出〜日本情報処理開発協会2005-08-19
- ProjectP終了2001-01-23
- おしごと2010-01-27
- もぐらプロジェクト2003-02-20
- ウェブアプリ開発の鉄則31カ条2002-12-25
- 出張2010-04-06
- レガシー脳の恐怖2010-07-16
- プライバシー問題の解決が難しいのはなぜか〜第8回 コンピュータ犯罪に関する白浜シンポジウム REPORT2005-03-12
- ぐる2003-02-06
- 新手法「Ajax」登場を機に見直し迫られるWebの操作性2005-06-24
- シリーズ・クロールとDoSの違いと業務妨害罪と(6) - レガシーの呪縛2010-07-23
- NT+IIS4.0に対する侵入コードの公開1999-06-18
- FreeBSD 4.5-RELEASE 用 スタックプロテクション対応パッチ2002-03-04
- 法人の電子証明書、普及拡大、アプリケーションの登場に期待 - 法務省2005-04-22
- 「Web サーバーによるファイル要求の解析」確認テスト2001-02-26
■2
PowerEdge SC420[http://jpapp1.jp.dell.com/jp/downloads/pdf/catalog/poweredge_sc420.pdf][おかいもの]<< 前の記事 | 次の記事 >>
「チケット使うと激安!」という情報が流れていたので、2台購入。消費税・送料込み45,399円(2台で)でした。
手持ちのパーツに要るもの足してちょっとしたサーバ作ろうと思っても、きっとこの金額にはなりそうにない。
メモリがECCなので買い足すと結構な値段になるし、普通のメモリとは混在不可の様なので、1台から抜いて刺しちゃうということを目論んで2台。
手持ちのパーツに要るもの足してちょっとしたサーバ作ろうと思っても、きっとこの金額にはなりそうにない。
メモリがECCなので買い足すと結構な値段になるし、普通のメモリとは混在不可の様なので、1台から抜いて刺しちゃうということを目論んで2台。
■ 関連記事
- 100万レコードからのLIKE検索2010-08-27
- 続・SC4202005-06-01
- 続・PowerEdge SC4202005-04-11
- メモリの増設2002-01-10
- 続・SC4202005-06-07
- ビーフシチュー2009-10-09
- ネットとリアル店舗でワイシャツを作った徒然(ネット編)2014-08-13
- 続・謎データ2001-11-06
- UPSとATXケース1998-11-09
- 日立製作所 RFID「ミューチップ」在庫販売開始のご案内2005-10-18
- メインマシン2000-09-27
- キーボードを後で刺す2002-03-11
- ぐる2003-08-26
- ばんごはんをがんばる2007-11-25
- make world2002-02-19
■3入院<< 前の記事 | 次の記事 >>
「母親が倒れた!」ということなので、お見舞いに。そこまで心配な状況では無いようだ。一安心。
■ 関連記事
- お見舞い2006-01-15
- 入院2009-11-30
- 暑中お見舞い2010-07-31
- 小学5年の少女行方不明2005-03-25
- 最近読んだ本2003-08-23
- Google日本語入力を信用しても良いものか2009-12-03
- 車内での携帯利用2000-04-14
- 「毎日かあさん」論争、表現の自由か教育的配慮か2005-09-06
- 震災から一週間2011-03-19
- フィッシング詐欺用サイトとサイト改竄の違い2005-02-22
- 【酒井法子覚醒剤】保釈騒動でメディア“過熱” 湾岸署には200人以上殺到2009-09-17
- 21歳なのに投票させず「子どもと思いこみ」 平塚市2009-09-01
- “官製SNS”で地域コミュニティ復活 行政スリム化も2005-06-21
- ぐる2009-08-28
- GnuPGの鍵2005-02-03
■4休学<< 前の記事 | 次の記事 >>
大学によって、先生と相談。1年間ほど休学する方向で。
□ 留年カウンセリング:
確かに、同級生がいなくなるし、下級生と一緒に授業受けないといけないし、就職の不安とか色々な不安が出てくるだろうから、カウンセリングも必要だよなって思ったんですが、良く見たら「留学カウンセリング」だった。
■ 関連記事
- 大学からのアタックの話1998-10-21
- 小学校の授業を参観してきました2014-04-25
- ぐる2002-03-07
- 続・高校の同窓生と飲み会2005-05-05
- 色覚異常について1999-05-10
- 某大学の某部2002-02-22
- 出張16日目2005-10-04
- 「鳩山不況」に現実味 デフレと円高で冷え込む投資と消費2009-12-09
- ぐる2003-06-12
- 必殺!仕分人2009-11-16
- ネット史上最大の惨事のひとつ発生―Microsoft Danger、T-MobileのスマートフォンSidekickのユーザーデータのすべてを失う2009-10-12
- 住基カード関係で読んだ本2005-03-05
- 職業訓練話2003-08-07
- ぐるぐる2001-04-01
- Web日記を復活させようかなぁ2007-11-02
■5
ルービックキューブを揃える「レゴ」のロボット[http://jpbrown.i8.com/cubesolver.html]<< 前の記事 | 次の記事 >>
BOX HEAD ROOM[http://tamac.daa.jp/archives/200503/21.php]
から、
Stressful Angel[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/03/_323_.html]
経由。
素晴らしいハックだ!
素晴らしいハックだ!
■ 関連記事
- ペンギンに特化した水族館2005-08-09
- スペースワープ復元2005-01-19
- アダルトサイトに勝手に登録し、日本語で入会金を要求するウイルス2005-06-29
- 「設定変更は禁止、ダウンロードファイルは再起動で削除」:マイクロソフトの無償ツール2005-12-06
- 『Tiger』のセキュリティーに不安の声2005-05-14
- テキーラ早飲みコンテストで優勝者死亡2005-03-28
- ぐる2005-01-27
- 過去のメールを引用しウイルス添付メールを自動返信する"Commwarrior.C"2005-10-20
- トークンではフィッシング詐欺を防げない?2005-03-15
- 「サポートしておりません」2005-08-01
- 「南セントレア君」命名にNo!2005-02-19
- Linuxサーバの3分の2はウイルス未対策、ソフォスが「考えて」2005-07-27
- インターネットサーバをNT+IISで1998-10-30
- エスパー魔美の仁丹消費量を検証してみた2009-09-10
- POP before SMTP2000-11-03
■6「おもちゃ」に生体情報を使う指紋認証製品[セキュリティ]<< 前の記事 | 次の記事 >>
この先、どの様なストーリー展開になるか分からないけれども、こういう製品を作る人は、生体認証の重要性を分かっていないのではないかと思う。こういう製品を薦めて良いのだろうか。
パスワードは使い分けをする。
パスワードは秘密の共有によるセキュリティだから、本当は全ての相手に対して各々別のパスワードを使用した方が良い。だけれども、ありとあらゆるものにいちいちユニークなパスワードを使うのは大変だから、レベルを分けて運用している人が多いと思う。
例えば、本当にセキュアなサーバに使うパスワードと、毎日、時には自分が管理していない端末からログインするために使うパスワードは分けている場合が多いだろう。相手が平文でパスワードを記憶しているかも知れない、よその掲示板等の削除用パスワードに同じパスワードを使う人もいないはずだ *1 。
こういった序列で行くと、生体情報を究極のパスワードあるいはIDとして使うためには、 生体認証機器は信用されなければならない[http://www.nantoka.com/~kei/diary/?200503a&to=200503091#T200503091] 。
生体情報そのものを内部に持つべきではないし *2 、自分が持ち歩くデバイスを介して本人であることの証明を行うシステムになっているべき *3 だ。
マイクロソフト社が、 指紋リーダー製品[http://www.asia.microsoft.com/japan/presspass/addcont.aspx?addid=605] を出しているけれども、
「指紋を使っているから安心」という様な「なんちゃって生体認証機器」が普及すると、生体情報のセキュアさが薄れてしまう。そうなってしまうと、きちんとした生体認証機器であっても、もはや安心して使えなくなってしまう。「おもちゃ」に生体情報を使ってはいけない。
どうも、FireFoxで言うところの「マスターパスワード」の働きをしてくれる様に見えるが、どういう仕組みになっているのだろうか。買ってみようと思うが、以下は想像に基づいている。
FireFoxのマスターパスワードの場合、マスターパスワードを鍵として、他のサイトのパスワードを暗号化している。マスターパスワードの強度が十分にあって、暗号化の仕組みに問題が無ければ *4 、仮にディスクの内容をコピーされても解析できない仕組みを作ることが可能な筈だ。
ところが、この製品の場合、「鍵」になるものを置く場所が無いように思える。 デバイス自身が指紋認証をやって、マスター鍵によって各々のサイトの鍵を生成してくれるという仕組みになっているとすれば話は別だが、価格と売り方からしてそういう製品になっているとは思えない。
あるいは、指紋自身から不変の何らかの値を取り出して、それを鍵にするという方法も考えられるが、これは相当に困難な筈だ。
だとすると、想像するに、秘密の鍵を(この製品は知っている)ヒミツの方法でどこかに保管しておいて、指紋認証が成功した時に限り、その秘密の鍵をヒミツの方法で展開して、各サイトのパスワードを取り出す仕組みになっているのではなかろうか。
もっと単純に、各サイトのパスワードをヒミツの方法で暗号化しておいて、指紋認証が通った時だけ取り出しているのかも知れない。
この辺りは、実際に製品を手に入れて、指紋認証が通らなくなった場合にどうするかを見れば分かるだろうと思う。
もし「ヒミツ」に頼っている製品だとすると、解析されたら終わりだから、 セキュリティを強化するための機能ではありません。と言わざるを得ないだろう。
販売会社の人からは、あっさりと「そうです。 ある意味オモチャみたいなものですが、流出させたくないファイルにアクセスするために、二重・三重のハードルを加えることで、セキュリティーのレベルはかなり上がるんですよ。実際、会社に置いてあるコンピューターに、ハードディスクを外付けにできるくらい信用されている人になら、そのファイルは見られても構わないんじゃないですか?」と、明確な回答。そりゃそうだ。生体情報は究極の個人情報だし、変更できないという特徴を持つ。 無くす心配や忘れる心配が非常に低いし、機器がきちんと作られていれば、なりすましの被害を受ける可能性も低い。
パスワードは使い分けをする。
パスワードは秘密の共有によるセキュリティだから、本当は全ての相手に対して各々別のパスワードを使用した方が良い。だけれども、ありとあらゆるものにいちいちユニークなパスワードを使うのは大変だから、レベルを分けて運用している人が多いと思う。
例えば、本当にセキュアなサーバに使うパスワードと、毎日、時には自分が管理していない端末からログインするために使うパスワードは分けている場合が多いだろう。相手が平文でパスワードを記憶しているかも知れない、よその掲示板等の削除用パスワードに同じパスワードを使う人もいないはずだ *1 。
こういった序列で行くと、生体情報を究極のパスワードあるいはIDとして使うためには、 生体認証機器は信用されなければならない[http://www.nantoka.com/~kei/diary/?200503a&to=200503091#T200503091] 。
生体情報そのものを内部に持つべきではないし *2 、自分が持ち歩くデバイスを介して本人であることの証明を行うシステムになっているべき *3 だ。
マイクロソフト社が、 指紋リーダー製品[http://www.asia.microsoft.com/japan/presspass/addcont.aspx?addid=605] を出しているけれども、
フィンガープリントリーダーは、 セキュリティを強化するための機能ではありません。企業ネットワークへのアクセスや、財務情報などの機密データを保護する目的では使用しないでください。という様なレベルの安全性の様だ。こういう意識で指紋情報を扱ってもらうのは困る。
「指紋を使っているから安心」という様な「なんちゃって生体認証機器」が普及すると、生体情報のセキュアさが薄れてしまう。そうなってしまうと、きちんとした生体認証機器であっても、もはや安心して使えなくなってしまう。「おもちゃ」に生体情報を使ってはいけない。
□ [エレクトロニクス]Microsoft Fingerprint Reader [DG2-00003][http://www.amazon.co.jp/exec/obidos/ASIN/B0006O4IDA/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:
[エレクトロニクス]
Microsoft Fingerprint Reader [DG2-00003][http://www.amazon.co.jp/exec/obidos/ASIN/B0006O4IDA/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]
製作者:
発売元:マイクロソフト
定価:
ASINコード:B0006O4IDA
発売元:マイクロソフト
定価:
ASINコード:B0006O4IDA
FireFoxのマスターパスワードの場合、マスターパスワードを鍵として、他のサイトのパスワードを暗号化している。マスターパスワードの強度が十分にあって、暗号化の仕組みに問題が無ければ *4 、仮にディスクの内容をコピーされても解析できない仕組みを作ることが可能な筈だ。
ところが、この製品の場合、「鍵」になるものを置く場所が無いように思える。 デバイス自身が指紋認証をやって、マスター鍵によって各々のサイトの鍵を生成してくれるという仕組みになっているとすれば話は別だが、価格と売り方からしてそういう製品になっているとは思えない。
あるいは、指紋自身から不変の何らかの値を取り出して、それを鍵にするという方法も考えられるが、これは相当に困難な筈だ。
だとすると、想像するに、秘密の鍵を(この製品は知っている)ヒミツの方法でどこかに保管しておいて、指紋認証が成功した時に限り、その秘密の鍵をヒミツの方法で展開して、各サイトのパスワードを取り出す仕組みになっているのではなかろうか。
もっと単純に、各サイトのパスワードをヒミツの方法で暗号化しておいて、指紋認証が通った時だけ取り出しているのかも知れない。
この辺りは、実際に製品を手に入れて、指紋認証が通らなくなった場合にどうするかを見れば分かるだろうと思う。
もし「ヒミツ」に頼っている製品だとすると、解析されたら終わりだから、 セキュリティを強化するための機能ではありません。と言わざるを得ないだろう。
*1: 残念なことに多いらしい。ちなみに、この日記の掲示板の削除用パスワードは、ブラウザのCookieとして平文で保管されている。万が一、過去に大事なパスワードと同じものを入力してしまった人は、パスワードを変更することをお勧めする。
*2: 生体認証への根本的な疑問,[http://www.nantoka.com/~kei/diary/?200501c&to=200501262#T200501262] 続・バイオメトリクス認証機器は、バイオメトリクス情報そのものを保存してはいけない[http://www.nantoka.com/~kei/diary/?200501c&to=200501271#T200501271] 参照。
*3: 「モバイル機器の指紋認証デバイスに頼ってはいけない」〜生体認証デバイスは信頼されなければならない[http://www.nantoka.com/~kei/diary/?200503a&to=200503091#T200503091] 参照。
*4: ソースコードが公開されているのだから、あったら既に大騒ぎになっていると思われる。
*2: 生体認証への根本的な疑問,[http://www.nantoka.com/~kei/diary/?200501c&to=200501262#T200501262] 続・バイオメトリクス認証機器は、バイオメトリクス情報そのものを保存してはいけない[http://www.nantoka.com/~kei/diary/?200501c&to=200501271#T200501271] 参照。
*3: 「モバイル機器の指紋認証デバイスに頼ってはいけない」〜生体認証デバイスは信頼されなければならない[http://www.nantoka.com/~kei/diary/?200503a&to=200503091#T200503091] 参照。
*4: ソースコードが公開されているのだから、あったら既に大騒ぎになっていると思われる。
■ 関連記事
- 続・指紋による職員識別システム、佐賀県が導入へ2005-06-10
- Amazonから2005-03-28
- 続・バイオメトリクス認証機器は、バイオメトリクス情報そのものを保存してはいけない2005-01-28
- 続・バイオメトリクス認証機器は、バイオメトリクス情報そのものを保存してはいけない2005-01-27
- 生体認証への根本的な疑問2005-01-26
- 「モバイル機器の指紋認証デバイスに頼ってはいけない」〜生体認証デバイスは信頼されなければならない2005-03-09
- 究極の生体認証システム登場!大阪のベンチャー企業が開発2005-04-01
- 指紋認証装置を搭載したUSBメモリー、ディー・ディー・エスが3月末に発売2006-02-03
- 使い捨て暗証番号導入 三井住友銀、ネット犯罪対策強化2006-01-13
- Firefoxのセッション管理とSingle Sign-On2009-11-16
- 静脈認証も安心できない? 大根で作った偽造指で認証に成功2005-07-04
- 県が指紋認証導入へ〜佐賀県2005-06-09
- 読んだ本2005-02-01
- ネット史上最大の惨事のひとつ発生―Microsoft Danger、T-MobileのスマートフォンSidekickのユーザーデータのすべてを失う2009-10-12
- FireFoxのプライベートブラウジング2011-01-12
■7日記800日[hns]<< 前の記事
日記をWebに公開し始めたのは、
1998年10月14日[?199810b&to=199810140#199810140]
なので2500日程度経っているけれども、書いていない日が結構あるので、記事を書いた日がどれ位あるのか数えたら、802日分あった。
結構な日数続いてる様だ。
結構な日数続いてる様だ。
■ 関連記事
- NAT/DHCP over IEEE802.1Q VLAN 環境の構築2000-07-03
- バーナー広告2001-08-31
- Webalizer不調2001-10-11
- あなたを・もっと・知りたくて2008-03-11
- Napster2001-03-12
- 週刊ダイヤモンドの表紙にあなたのTwitterアイコンが!2009-12-21
- 続・「JavaScriptのメソッドでPHPを実行したい」2003-01-30
- 日立製作所 RFID「ミューチップ」在庫販売開始のご案内2005-10-18
- 出張14日目2005-11-04
- リンクのはりかた2000-04-03
- ローカルミラーシステム2003-08-15
- シリーズ武雄市TSUTAYA図書館(20) - イケハヤメソッドでつづる今後の武雄図書館への思い2013-04-15
- 続・日記バード2000-05-04
- シリーズ・クロールとDoSの違いと業務妨害罪と(5) - その後の念力デバッグ2010-07-22
- 「米子市からのおしらせ」をRSSで!2005-03-21
