2013-05-28
クレジットカードのセキュリティコードの保存は禁止
security | 
私も海外でよく使っていたイモトのWi-Fi「GLOBALDATA」のWebサーバーに不正アクセスがあり、調査の結果最大146,701件のクレジットカード情報を含む情報漏えいがあったことが判明しています。
リリースによると漏えいした情報は下記の通りと、この情報が揃えば大半のサイトのオンライン決済で利用できるでしょう。
- カード名義人名
- カード番号
- カード有効期限
- セキュリティコード
- お申込者住所
この中の「セキュリティコード」ですが、これはVISAやMasterでは「CVV」や「CV2」などと呼ばれている不正使用防止のための番号で、カードの裏面などに記載されているものです。
この「セキュリティコード」はカードに記載された番号を確認することで、カードの実物を持った所有者であることを確かめるセキュリティ対策なので、オンライン決済をしている加盟店のWebサーバーが保存してはいけません。
JCCA 日本クレジットカード協会が定める「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」にも「加盟店にてセキュリティコードを保存することは、禁止する。」という一文があります。
セキュリティコードを保存する実装にしているオンライン決済サイトはすぐにでも修正しましょう。また、上記ガイドラインにもある3Dセキュアなどの本人認証を導入すべきでしょう。
それにしても、エクスコムグローバル社は不正アクセスの件を4月23日から把握していて調査しているようですが、発表が5月27日とかなり遅いですね。
私も被害者ですが、ここまでの情報が漏えいするとクレジットカード番号は再発行になるかもしれませんね…。最近各所で漏えい事件の被害者としてヒットしていますが、そのたびにクレジットカード番号を変更とかになると、いろんなサイトの決済情報を変更しなければいけなくて本当にめんどうくさいですね。
NORTON INTERNET SECURITY 5U (2013年 日本語・...購入: 1人 クリック: 1回
ガイドライン外来診療20132013-05-21
Webに関わる人のための『HTTPの教科書』を発売
ひさびさの単著となる『HTTPの教科書』が2013年5月24日に発売になります。
内容はタイトルの通り、Webに関わる全ての人に捧げるHTTPを学ぶための教科書です。基礎を学びたい初心者の方から、机の上に置いてリファレンス的に使いたい方までを対象としています。
HTTP関連の書籍は『今夜わかるHTTP (Network)』というタイトルの本を2004年に出しています。その頃からHTTP/1.1が主流であるというのは、今でも変わりませんがそれを取り巻く環境というのは変わりつつあります。
HTTPを学ぶ上での要点がわかりやすく、そして読みやすくなっております。前作のリニューアルっぽく感じるかと思いますが、9割以上は書き直しや追記しております。
また、レビューアとして、Masato Kinugawaさん、山崎圭吾さん、ネットエージェント株式会社はせがわようすけさんなどもお迎えして、よりよい一冊となっております。
以下は本書の目次になります。
第1章 Web とネットワークの基本を知ろう
1.1 Web はHTTP で見えている
1.2 HTTP はこうして生まれ育った
1.2.1 Web は知識共用のために考案された
1.2.2 Web が成長した時代
1.2.3 進歩しないHTTP
1.3 ネットワークの基本はTCP/IP
1.3.1 TCP/IP はプロトコル群
1.3.2 階層で管理するTCP/IP
1.3.3 TCP/IP の通信の流れ
1.4.1 配送を担当するIP
1.4.2 信頼性を担当するTCP
1.5 名前解決を担当するDNS
1.6 それぞれとHTTP の関係
1.7 URIとURL
1.7.1 URI はリソースの識別子
1.7.2 URI のフォーマット
第2章 シンプルなプロトコルHTTP
2013-03-25
コマンドラインから画面共有をONにする方法 for OS X Mountain Lion
Mac |
システム環境設定からONにすればいいんですけど、なぜかシステム環境設定のロックが外せなくなったので、コマンドラインから各種設定変更を模索してみました。
コマンドラインから画面共有をONにするには、下記のコマンドをターミナルから実行します。
# sudo defaults write /var/db/launchd.db/com.apple.launchd/overrides.plist com.apple.screensharing -dict Disabled -bool false # sudo launchctl load /System/Library/LaunchDaemons/com.apple.screensharing.plist
ssh とかでもONにできるので、人によっては便利かも。動作は OS X Mountain Lion(10.8.3) で確認しました。
2013-02-20
OWASP Top 10 2013 RC1リリース&日本語訳(ちょっとだけ)
security |
OWASP Japan Leader らしく、OWASP Top 10 2013 RC1版の紹介でも。
OWASPでは、PCI DSSなどでも参照しているOWASP Top 10 の 2013年版のリリース準備中です。現在、RC1をリリースして、コメントを募集しています。こちらまでお願いします。 OWASP-TopTen@lists.owasp.org
新規追加のものも名称を日本語に訳しましたが、もっと適切な言葉があれば教えて下さい。
OWASP Top 10 - 2013 RC1
- A1 インジェクション攻撃(Injection)
- A2 不完全な認証とセッション管理(Broken Authentication and Session Management)
- A3 クロスサイト・スクリプティング(Cross-Site Scripting (XSS) )
- A4 安全でないオブジェクトの直接参照(Insecure Direct Object References)
- A5 セキュリティの不適切な設定(Security Misconfiguration)
- A6 機密データの露出(Sensitive Data Exposure)
- A7 機能レベルのアクセス制御の欠落(Missing Function Level Access Control )
- A8 クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))
- A9 既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)
- A10 検証されていないリダイレクトとフォーワード(Unvalidated Redirects and Forwards)
詳細はRC1版を参照して下さい。
OWASP Top 10 - 2010 から何が変わったか
2013年版では主に下記の変更が加えられる予定です。
- 「不完全な認証とセッション管理(Broken Authentication and Session Management )」が拡がってきたので、A3からA2に上がりました。XSSがA3に。
- 「クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))」がA5からA8に下がりました。開発者はCSRF脆弱性の数を減らすために努力しているようです。
- 「URLアクセス制限の不備(Failure to Restrict URL Access)」はもっと広い意味にして、A7の「機能レベルのアクセス制御の欠落(Missing Function Level Access Control )」としました。
- 2010のA7 安全でない暗号化によるデータ保存(Insecure Cryptographic Storage)とA9 不十分なトランスポート層の保護(Insufficient Transport Layer Protection)から新しいカテゴリ A6の「機密データの露出(Sensitive Data Exposure)」を作りました。
- 新しく A9の「既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)」を作りました。
OWASPは皆様に支えられています。参加をお待ちしています。
2012-12-15
脆弱性報奨金プログラムを提供しているサイト一覧
security |
いわゆる"Bug Bounty Programs"と言われている、Webサイトの脆弱性情報などを受け付けて、それに報奨金を出すというプログラムです。報奨金で飯を食えるようになるといいですね。
- Etsy(ハンドメイド商品のマーケットプレイス)
- Barracuda Networks(セキュリティ機器)
- Yandex(ロシアのGoogle的な。今年モスクワのオフィスに遊びに行かせて頂きました。)
以下は、バグハンターの名前は掲載するけど、報奨金は出さないサイト。
- Adobe
- EBay
- Microsoft
- Apple
- Dropbox
- Github
- Ifixit(iPhone修理とか)
- 37 Signals
- Twilio(クラウド電話)
- Constant Contact(マーケティング)
- Engine Yard(Ruby,PHP クラウドプラットフォーム)
- Lastpass(パスワードマネージャー)
- RedHat
- Acquia(CMSのDrupal)
- Zynga
- Owncloud(自分専用クラウド)
- Tuenti(SNS)
- soundcloud(音楽シェア)
- Nokia Siemens Networks
スペシャルサンクスには、何人か知っている名前を見かけますね。もちろん、日本人のあの人も!
報奨金プログラムやっているサイトの追記情報をもらいました!
- Mozilla
- Hex-Rays(IDAの)
- PayPal
masatokinugawa
おお、Yandex報酬出してくれるの知りませんでした!探さないと…!
PayPalもお金だしてくれますね。
https://www.paypal.com/us/webapps/mpp/security/reporting-security-issues
sen-u
いろんなサイトでmasatokinugawaさんの名前を見ますよ!
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 02 | 03 | 05 |
セキュリティコードをWEBサーバに保存していたのは、過失では済まされない犯罪に近い行為ですよね。個人情報保護に関してサイトに内容の掲載があるわけで、それを信じて利用した顧客は「著しく優良誤認」をしたのです。