12 月 20 日に、RHEL 6.2 からわずか 14 日遅れで、CentOS 6.2 がリリースされました。Wikipedia の CentOS の項目を見ると、14 日遅れは史上４位タイの速さです。CentOS - Wikipedia6.0、6.1 と、半年以上の遅れが続いていたのが嘘のように、迅速なリリース…

サーバ間で rsync を使ったファイルの同期の課題を与えられた後輩が、あれこれ調べてたどり着いたサイトの内容を後ろから覗き込んだ時、思わず「イケてない。自分ならやらない」と言ってしまったことがありました。セキュリティに気を使って「ssh 経由で rsy…

７月に RHEL に８ヶ月遅れで 6.0 でリリースされた CentOS 6.0 ですが、6.0 リリースから４ヶ月近く経っても、6.1 リリースの話は聞こえてきません。RHEL 6.1 がリリースされたのが米国時間で 5/19 ですから、もう少しで半年になります。CentOS としてのリリ…

今回のせきゅぽろは、Yahoo JAPAN の戸田さん。テーマがフィッシング対策ということで、Web 周りのテクニカルな話題が中心かな、と思っていたのですが、もっと総合的な話でした。フィッシング詐欺が「かたる」ときの対象とされやすい、Yahoo 側での対策に限…

試しに、各 ISP でのメールに対するパスワードに関して、ちょっと調べてみました。以下はすべて、2011-8-27 現在のものです。 @nifty ログインパスワードとメールパスワードは、どんな文字で何桁まで設定できますか。 | 会員サポート ＞ Q&A（よくあるご質問…

以前、とある記事に関して書いた時、「全てのパスワード」って何？ - JULYの日記 今時、パスワード長８文字までは、かなり少数派でしょう。 と、書きましたが、見つけてしまいました。パスワード長８文字までのものを。先日、友人がメールアドレスを変更した…

立て続けに、私が以前に書いたネタに関する記事がありました。ボランティアのオープンソースはもうだめか | 日経 xTECH（クロステック）この記事にはいろんな疑問がありますが*1、CentOS 6 の遅れの原因として Dag Wieers が抜けた事を上げているのは事実誤…

IT Media のビジネス寄りの「誠 Biz ID」に、Ophcrack の紹介記事がありました。忘れてしまったWindowsマシンのパスワードを解析する - ITmedia エンタープライズこの記事だけ読むと、まるで Ophcrack が魔法のツールみたいに読めますが、決してそんなことは…

今回のせきゅぽろは、Microsoft の小野寺さん。テーマは「セキュリティ対策の王道(理想)と現実を考える」ということで、個人的にはこのタイトルだけで、期待感 MAX でした。「理想と現実の間」というのは、自分がセキュリティに関して考える時の最大のテーマ…

UNIX 系 OS で構築された Kerberos の環境に、Windows クライアントを加える話は、Windows 2000 で Active Directory が登場したころには、ところどころで聞くことがありました。有名なのは、monyo こと、たかはしもとのぶさんの書いた記事でしょう。Linux …

64bit 版の Windows で、具体的に何が問題になるかというと、デバイスドライバーやプラグインなど、「プログラムから呼ばれるプログラム」の類です。アプリケーション自体は、32bit 用のソフトでも 64bit 版の Windows 上でほとんど動かせるのですが、 古い…

「たくさん、またせて、ごめんなさい」は、emacs 上で wnn を使うための Tamago の由来ですが、アップストリームとなる RHEL 6 が 2010 年 11 月 10 日リリースなので、実に８ヶ月遅れで CentOS 6 がリリースされました。その間、CentOS の ML やフォーラム…

昔から、Proxy を通して自分の IP アドレスを隠すことが、「オレ、ちょっとカッコイイ」みたいな雰囲気があって、Proxy のことを「串」などと、隠語めいた呼び方をして悦に入る人を見かけましたが、今でも、そんな風に考える人が結構いるのに、ちょっと驚き…

第２回に参加してから、タイミングを逃し続けてきた「せきゅぽろ」。ほぼ２年ぶりに、第７回せきゅぽろに参加しました。第２回の時は JSOC の川口さんで、今回が LAC の CTO の西本さんと、LAC 続きでしたが、実際のセキュリティ・インシデントの現場を知っ…

アップストリームとなる Redhat Enterpriese Linxu 6 がリリースされて、半年以上経っても一向にリリースされない、という時に、「もうだめかも...」と思わせるような記事が。2011年5月17日 CentOS 6.0は本当にリリースされるのか？─メイン開発者の離脱が意…

徳丸さんが、パスワードの定期変更に関して書いた記事がありました。続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記徳丸さんは、定期的にパスワードを変えた時の効果を計算していますが、文中にある、 「全てのパスワードを試行できる」とい…

question:1299688445 を切っ掛けに、/etc/shadow ファイルのパスワードフィールドを調べてみたら、思いの外、複雑な処理をしているのが分かったので、実際にこの処理を追いかけてみました。近頃の UNIX 系 OS の /etc/shadow のパスワードフィールドは、実際…

id:JULY:20100109 で id:kshiono さんとのコメントのやり取りの中、その存在がバレてしまった(^^;、「差出人アドレスのドメインパートだけを評価するキーワード」のパッチを公開します。Ver 4.2.5 から作ったパッチですが、4.2.6 でもそのまま適用出来ます。…

(続)ファイル名は日付で始めよ - 「なぜあなたのチームは忙しいのか？」--仕事を楽にするITお作法 - ZDNet Japan 何の気無しにこの記事を読んでいたら、私の ID があるじゃないですか。で、本文を読むと、確かに私のはてブのコメントが引用されていて、しか…

以前、Rainbow Table の説明で、ソルトに関してid:JULY:20100515 Windows のパスワードの場合、「ソルト」と呼ばれる、パスワードに付加する乱数が無いので、同じパスワードから必ず同じハッシュ値が得られる、という側面もあります。UNIX 系 OS では「ソル…

エフセキュアブログの記事： エフセキュアブログ : 「SHA-1+salt」はパスワードに十分だと思いますか？SHA の計算が、GPU で効率よく計算できるので、思いの外、ブルートフォースの効率が良い、という話なんだけど、この文中に出てくる「2^52.5ハッシュ」と…

SASL CRAM-MD5 のジレンマ SMTP-AUTH や POP3、IMAP で使われる、認証フレームワークの SASL。SASL という名前よりも「CRAM-MD5」といった、具体的な認証方式の方が有名かもしれません。CRAM-MD5 や、POP3 専用の APOP といった認証方式は、平文のパスワード…

.NET Frameworkに潜む脆弱性「SMTPコマンド・インジェクション」とその対処法 - ＠ITこの記事の主題は、SMTP におけるインジェクションの話なのだが、その前段階の話が気になった。SMTP で送ろうとしている内容を、予めテキストファイルに保存しておいて、Ne…