水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2006年のえび日記 > 2006年4月

2006年4月

2006年4月26日(水曜日)

IPAX2006 プレゼンテーション枠が確定

IPAX2006の出展者プレゼンテーションのページ (www.ipa.go.jp)が更新されています。

というわけで、1発目にやらせていただくことになりましたので、よろしくお願いします。話す内容はまだ最終確定ではないのですが、今のところは以下のような内容を考えています。

あとは不満点を入れるかどうかとか……。

ともあれまだ考え中ですので、「これをやってほしい」という要望などがあるようでしたら、参考にいたします。

※具体的な事例紹介はあまりしない予定です。「ウェブアプリケーション開発者向けセキュリティ実装講座 (www.ipa.go.jp)」の「最近の脆弱性関連情報の届出事例とその対策方法」という資料があるのですが、ここで紹介されている「届出事例」の半数ほどには心当たりがあります。紹介しても見事に内容がかぶりそうですので……。

関連する話題: セキュリティ / IPA / 講演

2006年4月20日(木曜日)

Trac に XSS

JVN#84091359 Trac におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。Wiki機能に XSS だそうで。

手元でも使っていたりするので、管理者にアップデートするように伝えておかないと……。

※なにげに ZnZさん (znz.s1.xrea.com)の届出みたいですね。Good Job.

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2006年4月19日(水曜日)

タッチペンをなくした

いつものように「どうぶつの森 (www.amazon.co.jp)」をはじめて、本体からタッチペン (スタイラス) を抜こうと思ったら……ペン、ありませんでした。どうも、昨日のうちにどこかで落としてしまったようです。タッチペンは本体にかっちりはまるようになってはいるのですが、最近ちょっとゆるくなってきていたので、ペンを使わないゲームをやっているときに抜け落ちてしまったのでしょう。

もちろん、こんなこともあろうかと用意しておいた予備のペンがあるので問題なし。そもそも任天堂はペンをなくすことを想定しているらしく、ニンテンドーDS (www.amazon.co.jp) には最初から予備のペンが 1本ついているのでした。

関連する話題: ニンテンドーDS

2006年4月18日(火曜日)

IPAX2006 受賞者プレゼン枠

IPAX2006 (www.ipa.go.jp)のが発表されています。「出展者プレゼンテーション (www.ipa.go.jp)」のページを見ると「IPA賞受賞者プレゼンテーション予定」という枠がありますが、受賞者に対してプレゼンテーション枠の案内があったのが今日だったりするという。

というわけで話すことがあるかどうか訊かれているわけですが、基調講演 (www.ipa.go.jp)のほうに「ウェブアプリケーションのセキュリティホールの現状 ~ 情報セキュリティ早期警戒パートナーシップ」とその成果・課題 ~」という講演もあるようで。私がしゃべっても内容がかぶりそうですね……。

※社内セミナーと違って、暴露話とかできませんし。:-)

関連する話題: セキュリティ / IPA / 講演

2006年4月17日(月曜日)

情報処理試験でNUL文字攻撃の問題など

更新: 2006年4月20日

スラッシュドットに「情報処理試験(2006年春)はどうでしたか (slashdot.jp)」というトピックができていますね。今回、「テクニカルエンジニア(情報セキュリティ)」という試験区分が新たに追加されたとのこと。

情報処理技術者試験センター:問題冊子・配点割合・解答例 (www.jitec.jp)」として問題が公開されているので見てみましたが、ディレクトリトラバーサルSQLインジェクションの攻撃手法を答えさせるものがあったりして、なかなか興味深いです。

個人的に印象深かったのは、拡張子指定を迂回する話ですね。Perl スクリプトで、外部から与えられた $fname という名前に対して '.cep' という文字列を連結してから open に渡しています。$fname は何もサニタイズされていませんが、プログラム内で '.cep' という固定の文字列が連結されてから open に渡りますので、これを書いた人は「拡張子 .cep のファイルにしかアクセスできない」と思っているわけです。そこで「任意のファイルにアクセスする方法を答えよ」というのが問題になります。

まあ、単にファイル名の後ろに NUL文字をつけるだけなのですが、この手法、意外に知られていないように思います。以前、私が社内向けのセミナーで紹介したことがあるのですが、普段から Perl のプログラムを書いていて、XSSなどは知り尽くしているような人にも「初耳」と言われたりしましたので……。

※Perl の open は NUL を含むファイル名を渡されると NUL 以降を無視します。クエリに index.html%00 などと指定すると index.html(NUL).cep という文字列が open に渡ることになりますが、index.html.cep ではなく index.html が開かれます。

※2006-04-20追記: もう少し正確に言うと、Perl は NUL を含むファイル名をそのまま OS に渡すので、結果として NUL 以降が無視されます。Perl が一律に文字列の NUL 以降を無視しているわけではないので注意が必要です。詳しくはコメント欄を参照してください (PANDA さんありがとうございます)。

ところで話は変わりますが、こんなご意見が。

まあIPAが「XSS=クッキー漏洩」としか考えていないことは、脆弱性届け出状況 [ipa.go.jp]とかを見ても明らかなのだがorz

それはあるいは私のせいかも。届出様式には「5) 脆弱性により発生しうる脅威」という項目があって、これは届出者が書いていますので。

関連する話題: セキュリティ

cssText修正の余波?

4月の月例パッチ「MS06-013」適用で、キヤノンのプリンタ用ソフトに不具合 (internet.watch.impress.co.jp)」だそうで。

パッチを当てたら「アクセスが拒否されました」と言われるようになった、というのは cssText プロパティを参照する exploitコードと同じ挙動ですね。印刷用のツールということですから、印刷用にスタイルを調整するために cssText プロパティで CSS を参照していたのかもしれません。

いや、「cssText プロパティを使っている人なんて見たことない」と断言してしまっていましたが、こんな使われ方もあり得るのですね。ひっそりと CSS2 の印刷系プロパティを使っていた MS Word を思い出しました。

関連する話題: セキュリティ

色遣い

Webにまつわる大騒ぎは見当違い (www.usability.gr.jp)」……黄色地に白文字とかやられると、読めないのですが……。

※ちなみに原文の Hyped Web Stories Are Irrelevant (www.useit.com) は文字色が黒なので、読めないような事態にはなっていません。

関連する話題: アクセシビリティ / ユーザビリティ

モヒカンの中のモヒカン

同僚がイベントで会った人の話をしていて、

などという会話が耳に入ったので覗いてみたら、私も知っている人でした。

※誰なのかはあえて伏せておきますが。:-)

関連する話題: 思ったこと / 与太話

Level1飛空挺症候群

情報過多が作り出す「Level1飛空挺」症候群 (plusd.itmedia.co.jp)」。

反射的に FF9 (www.amazon.co.jp) を連想してしまったわけですが……。

※FF9 では、本当にレベル1で最後まで行けます。

関連する話題: 思ったこと

2006年4月14日(金曜日)

しつこいサバレンジャー

アキバ特捜隊 サバレンジャー (www.express.nec.co.jp)

このページはJavaScriptを使用しています。JavaScriptを有効にしてください。

このページはJavaScriptを使用しています。JavaScriptを有効にしてください。

このページはJavaScriptを使用しています。JavaScriptを有効にしてください。

って、3回も言わなくても……。

あるいは、3回入れないと警告されるから入れているのですかね。最近、どうも「アクセシビリティチェックツールに警告されたから対応しました」と言わんばかりの、変な (アクセシビリティ対応としては明らかに間違っている) 使われ方をした noscript をよく見かけるのですが。

関連する話題: HTML / アクセシビリティ

Windows + L は知られていない?

更新: 2006年4月14日

さらに,完全な対策を望むのであれば,ユーティリティソフトを使うべきでしょう。例えばパスワードによってWindowsそのものをロックしてしまう,あるいはファイルやフォルダの単位でロックをかけるなどのソフトがあります。

以上、Q&A:離席中,パソコンをのぞき見られないようにするには? より

最近の Windows (2000 や XP や 2003) は普通にロックすることができると思いますが……。Ctrl+Alt+Del の後にエンターを押すか、Windows キー + L キーでロックできます。離席時に Windows + L を押す癖をつけておくと良いのではないかと思います。

※いや、実は Ctrl+Alt+Del しなくても Windows + L で良い、ということを知ったのはつい最近だったりしますが。:-)

※追記 : Windows + L でロックできるようになったのは Windows XP からで、Windows 2000 の場合は Ctrl+Alt+Delしないと駄目なようです (izumiさん情報ありがとうございます)。

関連する話題: 思ったこと / セキュリティ

プロフィールを公開

以前から ASAHIネットや mixi では本名を公にしていたのですが、どこかに名前が出ると「名前出てますけど大丈夫ですか?」などと訊かれる事が良くありました。

せっかくだからもう少し積極的に公表しておこうということで、暫定的なプロフィールのページを作成しました。

※時間があるときに、もう少しちゃんとしたものにしておきたいと思いますが……。

関連する話題: 出来事

2006年4月13日(木曜日)

第2回IPA賞

プレス発表 : 第2回IPA賞について ~今まさに次代を切り開く「旬」の個人やグループを表彰~ (www.ipa.go.jp)」ということでプレスリリースが出ました。

なんというか、情報セキュリティ部門で株式会社ラック (www.lac.co.jp)の方と並んでしまっているのが凄いですが……。弊社はセキュリティ系の会社ではありませんので、念のため。

※写真は好評のようで良かったです。Special Thanks: yukop (blog.omase.com), kotarok (hemiolia.com), わだっち、ようへいさん

関連する話題: セキュリティ / IPA / 出来事

2006年4月12日(水曜日)

CSSXSS対策された模様

更新: 2006年4月14日

本日のパッチによって、いわゆる CSSXSS の対策がなされたようです。同一ドメイン上の CSS の内容は読めますが、他ドメインの CSS に対して cssText プロパティを参照しようとすると、「アクセスが拒否されました」と言われて失敗します。

これにより、他ドメインの任意のコンテンツにアクセスできてしまうといったことはなくなったはずです。端的に言うと、Firefox と同様になったということですね。

※2006-04-14追記 : 一応の対策はなされたものの、完全に FIX したわけではなく、依然としてアクセスする方法があるようです。参考 : InternetExplorerのいわゆるCSSXSS脆弱性と4月度のセキュリティ更新プログラムについて(その2) (d.hatena.ne.jp)

※ちなみに Firefox の場合は DOM2-style (www.w3.org) 準拠で、document.styleSheets[0].cssRules[0].cssText などとしてアクセスすることができます。これも同一ドメインでは取得できますが、クロスドメインでは取得できません。

関連する話題: セキュリティ

2006年4月9日(日曜日)

装備を調える

私はあまり服装には頓着しないほうなのですが、諸事情により、それなりに装備を調える必要が生じたので、仲間の協力を得て装備を調えたりしました。おかげさまで、なかなかの装備がそろった感じです。

※本当はもっと後で行こうと思っていたのですが、写真が必要と言われたので、「せっかくだから」ということで。

いやー、みんなで買い物するって楽しいですね。

関連する話題: 出来事

2006年4月3日(月曜日)

CSRFとCSSXSSは分けて議論したい

スラッシュドットに「正しいCSRF対策、してますか? (slashdot.jp)」というトピックが立っているようですが、議論がかなり混乱しているように思います。「hiddenにセッションIDをセットする CSRF 対策は、CSSXSS があるので危険」という話なのですが、CSRF といわゆる CSSXSS は別の問題ですので、分けて議論したいですね。

簡単に言うと、

ということになります。

ということです。注意したいのは、いわゆる CSSXSS の問題は CSRF に限った話ではないということです。秘密情報は何であれ、CSSXSS 対策をする必要がある (たとえば、GET で得られる HTML の中に出力しないようにする) という話になります。「セッションID」や「CSRF対策のためのワンタイムトークン」などはもちろん、個人情報の編集画面であるとか、Webメールの画面であるとか、そういった画面もすべて問題になるはずです。CSRF 問題のないサイトだから CSSXSS は関係なさそうだ、と思ってしまったりしないように気をつけたいところです。

※ただ、実際には CSSXSS によって取得できるものは限定されていて、何でも取れるわけではありません。基本的には MSIE が CSS の宣言ブロックの中身であるとみなしたものだけが取れるので、たとえば Webメールの画面の本文全体を取る、といったことができるかというと難しいところです。ただ、攻撃者が {} を挿入することができる余地、多バイト文字の一部が {} に解釈される余地などを考えると、あまり安心できなかったりもします。

個人的には、いわゆる CSSXSS は CSRF とは別の問題としてきちんと議論して欲しいし、もっとクローズアップされても良いと思います。まあ、今回の話で十分に注目されていると思うので、それはそれで良いような気もしますけれど。

ちなみに、CSSXSS に対しては利用者側でできる対策があります。それは、

ということです。現在知られている CSSXSS の攻撃手法では、攻撃者のサイト上でスクリプトを介して cssText プロパティの値にアクセスすることになります。ですから、スクリプトを無効にしておけば CSSXSS の攻撃は受けません。もちろん、MSIE 必須かつスクリプト必須のサイトは利用できませんので、それについてはパッチ待ちとなります (まあ、そんなサイトそうそうありませんが)。

関連する話題: セキュリティ / CSRF / CSSXSS

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト