現在、多くの銀行、信用組合などでNTTDATAの「ANSER-WEB」を使用して、オンラインで残高照会のできるサービスが提供されている。一見すると非常に便利なように見えるのだが、その実、一部の銀行では非常にリスキーな運用をしていることが判明した。
●背景
前回、OpenSSHのクライアントによる接続準備として公開鍵認証の鍵の取り扱い方を説明した。今回はOpenSSHのクライアント利用方法についてさらに説明する。
ネットワークを利用し始めると、頻繁にパスワードを入力することに気付く。WEB サーバに更新したコンテンツをアップロードするときや、ログチェックを行うときもそうだ。コンピュータを使うとき、今では多くの場合で[ログイン]という手続きを行う。たとえば、ダイヤル
脆弱性テストの解説、およびセキュリティホールへの対処方法
前回までにsshdの起動方法と設定ファイルの記述方法について説明してきた。 今回からはSSHによる通信のクライアントの利用方法について説明する。
前回はsshdの動作環境を設定する、sshd_configファイルの記述方法について解説した。引き続いて今回もsshd_configの記述方法について、特に認証に関する部分を説明する。
前回はsshdの起動方法について解説した。今回はsshdの設定について説明しよう。
OpenSSHの第3回目の解説となる今回は、SSHのサーバであるsshdの起動方法について説明しよう。
前回の続き
チャットやインスタントメッセージで人気の高いAOLのクライアントアプリケーションに重大なセキュリティホールとなりうる危険性が指摘されている。 問題となるのはいわゆる「AOL接続ソフト」でAIM(AOL Instant Messenger)には問題はないと考えられる(理由は後述)。
前回はOpenSSHの概要とインストール方法について駆け足で紹介した。今回はまず前回説明できなかっったことについていくつか補足しておきたい。
<前回の続き>
前回までは暗号通信方式としてSSLを用いたツールを紹介してきたが、今回からSSH(Secure SHell)に関連するツールついて解説していきたい。最初はまずSSH利用の中核となるOpenSSHについてである。
・わかりやすいマーク「R-MS」マークを貼って危険性の説明を行うべき
スクリプトを強要して利用者を危険に陥れるサイトは、民間企業のものだけではない。官公庁のサイトでもスクリプトを強要して利用者を危険に陥れるサイトは存在する。
スクリプトおよびクッキーの安易な利用が、危険であることは、これまでの記事でおわかりいただけたと思う。 では、実際、どれくらいスクリプトと強要する共犯者ともいうべき危険なサイトは存在してるのだろうか?
これまで、Scan Security Wire では、何度となくサイト運営者に対して、スクリプト設定をオンにしていないと利用できないようなサイトは作るべきではないと発言してきた。
■概観 今回試用したInstaGate EX2(以下InstaGate)は、実にコンパクトな筐体でA4ノートPCのやや厚みのある程度の大きさである。前面パネルには電源、HDDアクセス、LAN、WANのactivityを示すLEDが9個とシステム稼動の状況が示される小さなLCDとクロスカーソルタイプのス
SSLトンネリング用ツールとして、StunnelとBJORBを既に紹介したが、実績の高いstone [1]のことを言及しないわけにはいかない。stoneはアプリケーションレベルの TCP & UDP パケットリピーターである。
SSLトンネリングサーバであるBJORB[1]について、前回はインストール方法について説明した。今回は設定ファイル/usr/local/etc/bjorb.confについての記述方法について解説する。主なオプションについて設定記述方法を示し、続いてそのオプションの説明をする。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)