過去、「勉強会には興味があるんだけど、海(瀬戸内海)をこえてまでは出席しづらいなぁ~」っていう声をいくらか耳にしていました。
過去、「勉強会には興味があるんだけど、海(瀬戸内海)をこえてまでは出席しづらいなぁ~」っていう声をいくらか耳にしていました。
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
ローカルファイルに触れるアプレットは、署名が無いとダメ。権限が無いって怒られる。でも開発中に本物の署名ができるケースもなかなか無い。 そこで、オレオレ証明書による署名をした。今回、Windowsのコマンドプロンプトからやってみた。他のOSでも大差ないと思う。 鍵ペアの生成 C:\>c:\jdk1.5.0_12\bin\keytool -genkey -keyalg rsa -alias testこれで「test」っていう名前(エイリアス)の鍵ペアの生成が始まる。あとは画面に従って、パスワードやら姓名などの情報を入れる。テスト用のオレオレ証明書なので、パスワード以外の情報は適当でいい。パスワードはあとで署名するときに使うので覚えておくこと。 署名する C:\>c:\jdk1.5.0_12\bin\jarsigner c:\dev\applet.jar testjarsignerに、署名したい
VPNの実現には、IPsecやPPTP、SSL、MPLSなどのさまざまなVPNプロトコルが非常に重要な役割を果たす。今回は各種VPNプロトコルの概要とポイントをチェックしていきたい。 IPsecによるLAN間接続VPN インターネットはISPやキャリアなどの通信事業者が構築したネットワークが組み合わせられたものであり、全体の管理者は存在しない。そのため、経路のどこかで第三者に通信を盗聴されたり、改ざんされる可能性は否定できない。一般に公開されているWebサイトのデータを盗聴されても被害は少ないが、インターネットVPNでは社内ネットワーク内にある情報のやりとりにも使われるため、盗聴や改ざんへの対策は重要だ。そこでIPsecでは、盗聴対策として通信の暗号化、改ざん対策としてメッセージ認証による改ざん検出という仕組みを持っている。この両者を実現するIPsecの機能が「ESP(Encapsulat
Java言語による暗号化をサンプルと共に説明しています。 JDK1.5以上には、JCE(Java 暗号化拡張機能)が含まれており、この機能を利用すると、共通鍵方式による暗号化や公開鍵方式による暗号化機能を実装できます。 このページでは、以下の手法を説明しています。 ・ 共通鍵を自動生成して暗号化する ・ 共通鍵を作成して暗号化する(その1)[htt://www.trustss.co.jp/Java/JEncrypt122.html] ・ 共通鍵を作成して暗号化する(その2)[htt://www.trustss.co.jp/Java/JEncrypt123.html] ・ パスワードベース暗号化[htt://www.trustss.co.jp/Java/JEncrypt124.html] また、Windowd APIとの連携として以下の説明もあります。 ・ Javaで暗号化したデータをWin
ホーム[http://www.trustss.co.jp/] >> Java目次[http://www.trustss.co.jp/Java/JIndex.html] >> 総目次[http://www.trustss.co.jp/smnIndex.html] >> Java総目次[http://www.trustss.co.jp/smnIndex.html] > 暗号鍵を指定して暗号化する 選択した暗号化アルゴリズムにあった長さの秘密鍵で暗号化する方法を説明します。 以下も別途説明しています。 ・パスワードなど任意の長さのデータから必要な長さの鍵を生成して暗号化する、「パスワードベース暗号化」[http://www.trustss.co.jp/Java/JEncrypt123.html] ・Javaで暗号化したデータをWindows APIで復号する方法[http://www.trust
AESによる暗号化・復号化 Javaには、Cipherという暗号化・復号化を行うクラスが用意されている。 DESとか色々な種類の暗号をこのクラスによって使うことが出来る。 AESは JDK1.4.1ではサポートされていないが、JDK1.4.2ではサポートされている。 JDK1.5でもサポートされているが、128bit以外は使えないっぽい。 JDK1.6ではjce_policyを更新すれば使える。[2008-08-15] 単純な例 秘密鍵(暗号化・復号化で同じものを使う)をバイト列で用意して使う例。 import java.security.AlgorithmParameters; import java.security.Key; import java.security.SecureRandom; import javax.crypto.Cipher; import javax.cryp
Tiger で JCE (Java Cryptography Extension) を使って共通鍵暗号方式による暗号化と復号をします。 AES により暗号化・復号する方法です。 セキュリティに関する API の解説ですが、 作者はセキュリティの専門家ではありません。 本情報をもちいて発生したいかなる問題にも責任を負いかねますので、 あらかじめご了承ください。 暗号化 共通鍵はあらかじめ用意できているものとします。 共通鍵の生成 によって生成することもできます。 AES の暗号化モードの例を以下に示します。「アルゴリズム」 を Cipher インスタンスを取得する際に指定することができます。 (もちろん JCE プロバイダによって、他のものが使えるかもしれない。) IV は、暗号化の際に必要とする 128bit のパラメータです。 暗号化モード CBC では、この IV を必要とします。 も
Do a Google search like “proxy servers” and you’ll find dozens of PHP proxy scripts on the Internet that will help you create your own proxy servers in minutes for free. The only limitation with PHP based proxies is that they require a web server (to host and run the proxy scripts) and you also need a domain name that will act as an address for your proxy site. If you don’t have a web domain or ha
This shop will be powered by Are you the store owner? Log in here
A Codelab by Bruce Leban, Mugdha Bendre, and Parisa Tabriz Want to beat the hackers at their own game? Learn how hackers find security vulnerabilities! Learn how hackers exploit web applications! Learn how to stop them! This codelab shows how web application vulnerabilities can be exploited and how to defend against these attacks. The best way to learn things is by doing, so you'll get a chance to
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
名残 今週のお題「思い出の先生」 小学四年生のとき、親から「あんたの字、K先生にそっくりだね」と言われた。担任のK先生は印象的な字を書く人で、カクカクと直線的な文字を四角形にはめ込むように書くのが特徴だった。小学校だから担任がすべての授業を担当していて、毎日…
2. 本日お話しするテーマ • セキュア開発をベンダーに促すにはどうすればよいか • セキュア開発においてコストを低減するには • セキュア開発の要件定義はどう考えればよいか • セキュア開発で大切な3つのこと – セキュリティ要件とセキュリティバグ – 開発標準と教育 – セキュリティテスト • セキュリティテストツールとしての「ウェブ健康診断仕 様」 Copyright (C) 2009 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 ちょっと前に、Stanford大のTom Wuさんという方がPure JavaScriptで公開鍵暗号を実装しているっていうのを、どなたかのつぶやきで見ました。送信相手のRSA公開鍵を使って、相手に対してメッセージを暗号化して、受取人はそれに対応した秘密鍵で復号するというものです。Base64やBigIntegerなんかもJavaScriptで実装されていました。 やる〜〜〜〜〜 ここまでできてりゃ、ひょっとしたらJavaScriptでPKCS#1 v2.1 RSASSA-PKCS1-v1_5署名もできちゃうんじゃね?、、、と思って2、3週間前に作ってみました。できたヤツは放置プレイしていたんですが、ワールドカップイヤーなもんでサッカー見なが
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く