2008/06/12(木)パスワードを定期的に変更する理由
なぜパスワードを定期的に変更すべきか、運用面から考えると、
アカウントを持っていながら使っていない人が結構いて、
こういうアカウントが結構危険なんですね。
60日で expire だと短いと感じますが、半年とか1年くらいで自動的に
パスワードが expire してくれると、誰がアカウント使っていないかよく分かる。
expire したパスワードを変更する猶予期限が過ぎたらログインできなくなるので、休眠アカウントの数が減ってセキュリティ的に良い。
パスワードの expire じゃなくてアカウントの expire でも良いですけど、そういう仕組みは少ないですね。UNIX の shadow の仕組みだと、su も出来なくなるので実質アカウントの expire と同じです。
ま、有効なアカウントが無駄に多いのはセキュリティの脅威を高めるということで。
パスワードを定期的に変更するのは正直面倒なんですけどね。
# この話題で休眠アカウントについて語っているページが少ないのは運用してる人が少ないからかな…
2006/11/28(火)ProFTPD 関係
修正された 1.3.0a が出ましたが、さらに出ています。
2006/11/17(金)IE fuzzy&excessive expression detection
https://www.webappsec.jp/modules/bwiki/index.php?IE%A4%CEexpression%A4%C8url
2006/11/16(木)SQL Injection
http://takagi-hiromitsu.jp/diary/20061104.html#p01
なんというか…Webで一般に公開するようなサイトでprepare 使わないのって怖いと感じるのが普通のような気がするんですけど。ちょっとプログラムやってた事があればすぐにわかるような話なのにこんなに入力を”エスケープ”するというネタが出てくるのが世の中の不思議。
みんなお願いだからモンキーテスト位はやってほしい。そうすれば状態=コンテキストが存在する事の難儀さがわかって良い。信用できない入力をブラックリスト方式で取り除く事がいかに面倒なのかわかると思う。
ちなみに HTML などの SGML はパースする時に状態が多いのでフォーマットとしては大嫌いです。同様に MIME も嫌い。Unicode も同様。
keep it simple, stupid!
2006/11/16(木)IE security
IE は 0x00 他、いくつかのコントロールコードを完全に無視する。
http://d.hatena.ne.jp/hasegawayosuke/20061105/p1なお、Mozilla にも同様の脆弱性があるので注意が必要。
UTF-8 向けの曖昧な比較ルーチンか?
確か、NTFS での謎な文字列比較ルーチンというネタががんばれゲイツ君にあったような
気がするけど、その延長のネタな気がする。