タグ別アーカイブ: 認証

ITmedia Virtual EXPO 2012を視聴してみた。

先月になりますがITmedia Virtual EXPO 2012を視聴したのでそのときのメモを公開します。
メモの内容には聞き間違い等あるかもしれませんがご容赦ください。

今回視聴したのは下記の3つです。
・セキュリティ専門家が斬る!Anonymousの影響と人の脆弱性
・変貌するWebの世界― クラウドとクラウド・デバイスのインパクト
・LINEを生み出したNHN Japanの開発風土とは

——————————————————
セキュリティ専門家が斬る!Anonymousの影響と人の脆弱性
——————————————————

攻撃はきまぐれ
他人に攻撃をけしかけている雰囲気がある

調査してから攻撃する
攻撃できるという確信を持ってから行う(事前に仕込んでいる)

sip(シップ)のスキャン急にが多くなる

じわじわ攻撃を受けているサイトもある

政府機関のサイト、有名企業のサイト:
年中何らかの攻撃を受けている、報道もされない
=攻撃慣れしているしびくともしない
=攻撃慣れしている人たちから見るとそんなにたいした攻撃ではなかったりする場合もある

ちゃんと構築していれば防げるレベル

過去に見つかった脆弱性などが狙われる(2,3年前のもの)

ちゃんと対策をしていれば8割は防げる

さくっと侵入できるケースは少ない

メディアの注目を高めるために攻撃をやっている
ITに関係のない人まで知っている

チュニジアでの攻撃に日本人が参加していた

DDos攻撃に同時参加する人数
多くても2桁ぐらい
botが使われることが多い

javascriptをわざと踏ませて関係ない人間を攻撃に荷担させる場合もある

いまさら聞けないアノニマス
http://www.atmarkit.co.jp/fsecurity/special/172anon/01.html

セキュリティは楽しいかね?
http://d.hatena.ne.jp/ukky3/

複数のサービスをまたがった攻撃もある:
サポートセンターへの電話で情報を取得
メールのやりとりなど

サポートセンターの攻撃対応も必要
Facebookの情報で分かるような内容で本人確認してはいけない

オレオレ詐欺:
ソーシャルエンジニアリングの一つ

セキュリティ:疑うところから始まる

仕組みとしてセキュリティを高めていく
(ワンタイムパスワードなどを当たり前にしていく)

使う側でも分かるアプローチが必要

————————————————————-
変貌するWebの世界― クラウドとクラウド・デバイスのインパクト
————————————————————-

2012年:21世紀の二つ目の10年の始まり

最初の十年:911に始まり311(東日本大震災)で終わった。
携帯電話の爆発的普及
クラウドの登場と発展(googleの登場、amazon ec2の登場、microsoft azureの登場)
2007年iphoneの登場
2008年androidの登場

iphone,android等のクラウド端末の台数がpcを上回る勢い

トランジスタの数も15倍に

日本のスマホ普及率:先進国で最低クラス
・ガラケーの成功も原因

現在では1つのチップに中国の人口ぐらいのトランジスタが集積されている
(1970年には2000個ぐらい)
今後一つの電子、原子を制御するレベルまで小さくなってくる

Tegra3:5つのコアをもつ(公称は4つ)
製品への採用が進んでいる
スマホのスペックがpcを上回っていく

これからの5年間:
トランジスタの数は200倍になる

日常生活のあらゆる所にCPUが存在
すべてがネットワークにつながる力を持っている

Gang of Four:
Google
Apple
Facebook
Amazon

2011年に起きたこと:
6月icloud
9月facebookが8億人突破
11月amazon kindle fire登場

それまで自前のクラウドとクラウドデバイスを持っているのはgoogleしかなかった。
microsoft:windowsphoneの発表
facebook:クラウドデータセンターを稼働、携帯にも参入

去年一年でクラウドとクラウドデバイスを持つプレーヤーが形成された(非常に大きな変化)

日本:通信障害が発生するようになった。
ブロードバンドの帯域もスマホによって瞬く間に消費される。

スマホ:電池の持ちを良くするために制御信号を多発する

PC:データ量大、制御信号小
スマホ:データ量小、制御信号大

スマホ:ずっとネットに接続しているアプリが多数ある
実際には細かな接続/切断を繰り返している=多量の制御信号を送る

androidはiphoneよりも制御信号をたくさん送る
android4.0では改善されている

これからおきること:
新しいネットワークメディアの躍進
ネットワークマーケットの台頭

HTML5が鍵になる

2020年:世界人口の大部分がスマホを持つ(ネットワークにつながる)

すべての経済行動がネットワーク上で行われるようになる

AJAX:ブラウザとサーバがユーザのアクションに従って動的に動く
→これがリアルタイムに動くようになる

HTTP:文書の転送のためにデザインされた。
HTML5websocketはこれを改善する
(データ量減少、現在の通信方式とも共生できる)

ネットワークメディアに期待されるもの:
コミュニケーション、情報共有、豊かな自由時間

情報は誰のものかという問題を多くの人が意識し始める

コンテンツサービス、クラウドの利用:
日本は少し遅れている

音楽市場:
iTunesが圧倒的シェア

spotify:音楽をリアルタイムで共有できる

アメリカでは新旧メディアの対立がある:SOPA
著作権の強化、ISPによる特定サイトの遮断などまでが争点となっている

プライバシー問題:
日本ではプライバシーを守る意識が高い

電話初期、普及を妨げた最大の問題は交換手が会話の内容を聞けることだった
やがて危惧よりも利便性の方がそれを上回った

Appleの位置情報取得問題その後:
取得自体はやめていない
プライバシーポリシーに明記されるようになっただけ

Gang of Fourのプライバシーポリシーの特徴:
常に変わる
ビジネスと結びついている
事前了承が得られていればよしとする合意が形成されてきている

プライバシー観も変化していく

—————————————–
LINEを生み出したNHN Japanの開発風土とは
—————————————–

開発プロセスの違い:
ライブドア:企画→開発→デザイン
ネイバー:企画とデザインが同時に動き出す→開発
プロトタイピングが激しい

エンジニアリングだけで戦える時代でもない
エンジニアリングはあって当然、その上で武器を持たなくてはならない
(デザインなど)

ネイバーは400人(4割ぐらい)がエンジニア

Javaをよく使う
スマホに注力している

オープンソースのプロダクトをよく使っている

LINE:
メッセージ数がとても多い
Hbaseにデータを保存
アーラン(エリクソン)を使っている

これを使わなければ行けない、という決まりはない

新しいテクノロジーにも手を出している

社内の交流も多い
技術系スタッフの統合もハードルはなかった

スマホアプリのスタッフの統合が一番早かった

LINEが最初のネットの入り口になってくる
SDKを提供
サードパーティーも巻き込んでいく

SDK:
HTML5とJavascriptで提供される

LINEが生まれた背景:
スマホに注力したかった
スマホで流行るもの=コミュニケーション、ゲーム、写真
ゲーム、写真はすでにサービスを提供していた
企画が変容していってLINEになった

企画はだいぶ削られた(欲張った機能など)

企画者が尊重される
LINEは15人ぐらいで始まった

大規模なシステムの経験者を求めている
(インフラ経験者など)

次のアーキテクチャなどを先回りできるエンジニアが理想

ユーザー数で倍を目指している
未知の領域に入ってきている

現場に関しては開発陣の影響力が大きい

コードが書けることとマネージメントができることは別の才能だと考えている
得意なことをやってもらっている

セキュリティの勉強してます。(その2)

最近仕事先のセキュリティの試験を受けるために勉強しているので、そのときのメモです。

—————————————–
セキュリティ設計
—————————————–

認証の実装方法:
・パスワード
・IPアドレス→プロキシは使えない
・SSL証明書→不特定多数向けではない

パスワードの保存:ハッシュ化して保存する。ハッシュ化することで、漏洩時の危険性を回避可能

アカウントロック:総当たり攻撃・辞書攻撃の回避に必要

パスワードリカバリ(秘密の質問など):便利だがセキュリティの強度を下げるので注意が必要

パスワードの発行方法:
・ブラウザに表示するのは危険(パスワードリカバリを悪用された場合など)。
・メールで通知する(この場合もフリーメールのアドレスだと別人に再取得されたりする問題がある。定期的にアカウントをチェックさせたりすることが有効)

セッションに整理番号のようなものを付けることによって、ステートフルのような通信を行うことができる。

セッションの実装方法:
・hidden:最も安全
・cookie:最も一般的、XSS、CSRF対策が必要
・URLに付加:ログやブラウザから漏洩する。携帯のみ。

セッションフィクセーション対策:
・認証が成功してからセッションを開始する

CSRF対策:
・攻撃者が推測できない情報を含める(パスワード、トークン)
・正規の画面遷移を経ているか追跡する、refererをチェックする

特定のユーザーにアクセスさせたい動画、PDF、Flashなども同様の対策が必要

アドレスバー、ステータスバーは表示させる:
・URLや、HTTPSで保護されているかどうかの確認が困難になる
・フィッシングなどの危険性がある

フレームは使用しない:
・表示している画面のURLなどが確認しづらい

HTTPの問題点:
・平文で送信され、途中で改ざんされる恐れがある。
・DNSやhostsファイルが汚染されていた場合に、別のサーバにつながる恐れがある。

HTTPSとは:
・データが暗号化される。
・証明書による認証が行われる
・改ざんを検知することができる

HTTPS使用時の注意点:
・信頼された証明機関の証明書を使用する
・フレームは使用しない
・HTTPと比べてサーバへの負荷が高い

データ送信先だけではなく入力フォームもHTTPSで保護する

低 SSLv2→SSLv3→TLSv1 高
低い暗号強度のものは使わない

リダイレクト:
・リダイレクトされたことが分かる画面を表示して安心感を与える。

リダイレクタの悪用:
・攻撃者が作ったサイトにユーザを誘導する

リダイレクタの設計:
・遷移先を限定する
・URLの変更ができないようにする

データファイル、パスワードファイル:
・データファイル、パスワードファイルはWebサーバのドキュメントルート以外のところにおく
・ディレクトリのパーミッションをWebユーザアプリケーションに限定する
・スクリプトとは別ファイルで管理する