Google
ブログ(iiyu.asablo.jpの検索)
ホットコーナー内の検索
 でもASAHIネット(asahi-net.or.jp)全体の検索です。
 検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。
 例 中村(show) ki4s-nkmr
ウェブ全体の検索

徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」その22011年04月05日 03時04分23秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 徳丸様。献本ありがとうございます。
 やっと感想を少し書きます。

http://www.amazon.co.jp/exec/obidos/ASIN/4797361190/showshotcorne-22/
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と
対策の実践 [大型本]
徳丸 浩 (著
 ソフトバンク・クリエイティブにある紹介。
http://www.sbcr.jp/products/4797361193.html
体系的に学ぶ 安全なWebアプリケーションの作り方

 まず、ざっくり500ページもあって重い。
 中身は、いろんな攻撃手段と防御手段がみっちり書き込んであって、濃密。
 攻撃と防御、セキュリティの一般論から始まって、パスワードクラッキング、
シェルインジェクション、SQLインジェクションなどの注入系攻撃、
JavaScriptのクロスサイトスクリプティング(XSS)、クロスサイト・リクエス
トフォージェリ(CSRF)、認証やアカウント管理の方法などなど、いっぱい攻撃
手口と防御手段が丁寧に解説してある。
 これだけでも、こんなに集めてまとめたなと感心するが、さらにまだある。
 普通のセキュリティ関係の本ではまず見かけない、文字コードにまつわるセ
キュリティや携帯電話にまつわるセキュリティのことまで解説してある。
 サンプルコードも、実際に動かして試せるように、VMWare Playerまで入っ
たCD-ROMもついていて、至れり尽くせり。
 しかし、ぼくが、この本で、一番、感心したのは、それらではない。
 最後に開発マネジメント、開発プロセス自体を改善しないとセキュリティが
守られないことを章を割いて解説してある。
 開発チームに一人でもセキュリティ意識の低い人間がいると、そこからやら
れしまう。
 ソフトを開発する側だけではなく、発注する側、もっといえば単にソフトを
使う側でも、たとえば、経営者や経営陣がセキュリティ意識が低いと、簡単に
企業のデータを盗まれるし、業務が止まってしまう。ユーザであっても、一人
でもセキュリティ意識の低い人間がいると、そこからやられてしまうのだ。
 「セキュリティはプロセス」ということを学生にもよく言うのだが、セキュ
リティは、ファイアウォールを入れたからもう大丈夫、なんとかソフトを入れ
たからもう大丈夫というものではない。組織・チームのマネジメント、プロセ
ス、構造、意識を日々改善していくことが重要。
 世のセキュリティ技術の解説では、技術解説に終始して、マネジメントやプ
ロセスの重要性を強調していないものが大半だ。そのせいもあってか、マネジ
メントやプロセスの重要性がなかなか世間で認知されていないし、認識しても
実践されていないのが、現状だろう。
 ぼくが読んだ本で、その重要性を書いてあった記憶があるのは、
http://www.amazon.co.jp/exec/obidos/ASIN/4881359967/showshotcorne-22/
暗号の秘密とウソ [単行本]
Bruce Schneier (著), 山形 浩生 (編集), ブルース・シュナイアー (著)
くらいだ。
 その点で、本書「体系的に学ぶ 安全なWebアプリケーションの作り方」は、
目配りがよく利いている。「体系的に学ぶ」は伊達ではない。
 こういうすばらしい本が出た以上、今後はこれが防御の最低ラインになるだ
ろう。攻撃者はこの上を行く攻撃手法を開発するだろうから。

 ところで、恥ずかしながら、ぼくは、レインボーテーブル、レインボークラ
ックを知らなかった。
 ちょっと調べたら、Windows XPなどVista以前のWindowsの場合は、過去との
互換性のためにソルト(salt)を使わずに、ハッシュ値を計算するので、この攻
撃に弱いという。
 とっくの昔にこの攻撃をやるツールが出回っている。簡単なパスワードしか
設定していないと、1分程度でパスワードが破れるそうだ。

 さて、セキュリティで思い出したことがある。
 学生の頃に読んだのか、社会人になってまもなく読んだのか。Unixを開発し
た功績で、C言語を開発したデニス・リッチーとともにチューリング賞を受賞
したケン・トンプソンのチューリング賞受賞記念講演。調べたら、「信用を信
用することができるだろうか」というタイトルだった。
 これ、コンパイラを改造して、悪意のあるコードを生成する話。これをやら
れると、いくらソースコードをレビューしてもセキュリティホールは見つから
ない。
 この記念講演は、共立出版から出ていたコンピュータサイエンス誌「bit」
の1984年12月号に載っている。図書館にでも行けばあるかもしれない。
 1966年から1985年までの20年間の受賞記念講演22編を収録したものが、bit
創刊20周年記念出版で出ている。これにも収録されているはず。
http://www.amazon.co.jp/exec/obidos/ASIN/4320024877/showshotcorne-22/
ACMチューリング賞講演集 [単行本]
赤 摂也 (翻訳)
 図書館にでもあれば読んでみてください。

 もう1つは最近の話。セキュリティ関係の本は、ソフトウェアレベルでの解
説がほとんど。CPUは、正しく作られているという前提がある。しかし、チッ
プレベルでクラッキングするための回路を組み込むという話がある。
 それが載っているのは、
http://www.amazon.co.jp/exec/obidos/ASIN/B0041TA7EU/showshotcorne-22/
日経サイエンス 2010年 11月号 [雑誌] [雑誌]
 その記事の概要は、
http://www.nikkei-science.com/page/magazine/1011/201011_096.html
半導体チップに潜むハッカー
J. ビラセナー(カリフォルニア大学ロサンゼルス校)
にある。読むとすごいでしょ。そういう心配までしないといけない時代になっ
ているというのだ。
 ちなみに、この号は、茂木健一郎の対談の最終回。
 なんと、クマムシだった。\(^O^)/
 ほんと、クマムシのこと、書こう。

関連:
http://iiyu.asablo.jp/blog/2011/03/23/5754564
徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/24/5755461
Re: 徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/19/5749034
マイクロソフト元社長の成毛が相変わらず軽いので、ツイッターで話題になっ
ていました。

[コメント(0)トラックバック(21)]

共立出版コンピュータサイエンス誌「bit」総目次2011年04月05日 03時20分50秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」その
を書くときに、ケン・トンプソンのチューリング賞受賞記念講演がいつのbit
だったかを調べるときに見つけた。

 まず、共立出版のサイトにあるもの。
http://www.kyoritsu-pub.co.jp/bit/bit.html
ようこそ bit ワールドへ
 ここには、1997年から2001年4月号まである。
 もっと古いものは、表紙と目次をスキャンして並べてくださっている人がい
る。eggmanさんという人。ありがたいことだ。
http://memo.ptie.org/bit
bitのぺーじ
 このページのおかげで、ケン・トンプソンのチューリング賞受賞記念講演が、
bitの1984年12月に載っていたのがわかった。

関連:
http://iiyu.asablo.jp/blog/2011/03/19/5749034
マイクロソフト元社長の成毛が相変わらず軽いので、ツイッターで話題になっ
ていました。

[コメント(0)トラックバック(1)]

府中市中河原のパン屋「フラッグス(FLAGS)」、しばらく天然酵母パン中止2011年04月05日 06時52分51秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 この前、久々に、障碍者が働いている府中市中河原のパン屋「フラッグス
(FLAGS)」に行った。
 フラッグスは、しばらく天然酵母パン中止だって。おれ、黒米の食パンがほ
しかったんだけど、あれも天然酵母パンだったのか。計画停電があるからなの
かな。
 計画停電といえば、フラッグスのある府中市四谷の計画停電の予定が午前6
時20分からになっている日は、臨時休業だそうです。仕込みができないんで
しょうね。
 臨時休業になるかどうかは、フラッグスのブログでチェックしてください。

http://www7b.biglobe.ne.jp/~flags/
フラッグス
http://www7b.biglobe.ne.jp/~flags/bakery.html
フラッグスベーカリー
http://flagsbakery.blog109.fc2.com/
フラッグスベーカリーのブログ
http://iwa.que.ne.jp/cgi/tokusen_naka/nakagawara.cgi?mode=shop&no=174
フラッグスの紹介

 ブログをみると、今年もつばめが来てますね。
http://iiyu.asablo.jp/blog/2008/06/06/3564221
フラッグス・デザイン作品展
で、つばめのことを書いている。
 バカだねー。2008年に九州新幹線が全線開通だと思ってる。
 つばめのこと、
http://iiyu.asablo.jp/blog/2009/08/24/4533544
府中市中河原のパン屋フラッグスのつばめ
にもあるよ。

 長生たまご館にも行った。
http://www.tamago-kan.com/
長生たまご館

 風評被害でほうれん草が各地で売れ残っているが、地元の野菜を売っている、
ここにもほうれん草があったので、またいっぱい買った。この前も、スーパー
でほうれん草が売れ残って叩き売りだったので、買ってほうれん草鍋にした。
 うまかった。
 ほうれん草の仇を取ってやったぞ。\(^O^)/
 どこで買ったのか、九州物産展なのかな。
 福岡市の博多湾にある能古島(のこのしま)。そこで作られた甘夏ポン酢で、
ほうれん草鍋のほうれん草を食いまくった。
 あ、ウェブがあった。
http://noko.shop-pro.jp/?pid=21273850
のこのしま事前農園
の「明石えみこさんの手作り甘夏ぽんず」。
 これに、
http://iiyu.asablo.jp/blog/2010/06/27/5188125
黄金一味唐辛子戦争勃発か(笑)。\(^O^)/ 生七味も
で紹介した小倉の辛蔵が製造販売している黄金色の粉末柚子ごしょう「黄金柚
子ごしょう」をかけて食った。
 ちょー、うまうま。\(^O^)/
 ほうれん草、よーけ、食ったけ、ポパイになったっちゃ。\(^O^)/

 能古島、懐かしいわあ。高校のときと大学のとき、少なくとも2回、デート
で行ったね。
 もちろん、相手は違う女だろう。
 いや、女ですらないわ。
 えっ、男と?
 さあ、男か女かはわからんが、猿と雉と犬と一緒に行った。
 お前、それ、能古島、ちゃうやん。\(^O^)/

関連:
http://iiyu.asablo.jp/blog/2008/06/14/3576456
パン屋フラッグス、5周年記念てワンコインバザール
http://iiyu.asablo.jp/blog/2008/06/15/3579262
Re: パン屋フラッグス、5周年記念てワンコインバザール
http://iiyu.asablo.jp/blog/2010/09/30/5377542
卵でコレステロールが増えるは、誤解、迷信。フラッグス、長生たまご館
http://iiyu.asablo.jp/blog/2010/04/11/5011206
フラッグス。長生たまご館。多摩川の桜で花見。大東京卸売り綜合センター
http://iiyu.asablo.jp/blog/2008/09/27/3785874
パン屋フラッグス(FLAGS)がリニューアル
http://iiyu.asablo.jp/blog/2006/03/19/294323
府中市中河原のパン屋さん、FLAGS
http://iiyu.asablo.jp/blog/2006/04/28/345011
府中市中河原のパン屋さん、FLAGS その2

[コメント(0)トラックバック(5)]