安全なWebアプリ開発の鉄則2004 こういう分野は教科書を読むよりも、実践に即して書かれた資料の方がわかりやすい。XSSやセッションハイジャックまわりの理屈が何となく分かりました。 実験して見たいところですが、本当に試すわけにも行かないので、自宅サ…

第八章 セキュアプログラミング技法 一週間ぶりにセキュアドの勉強したのはよいが、どうにも頭に入らない。 結局、ここに書いてある事って↓のダイジェスト版のように思えるので、こちらを読むことにしよう。 http://www.soi.wide.ad.jp/class/20040031/slide…

第八章 Secure Programming（前半） セキュアプログラミング：ソフトウェア構築のあらゆる行程に脆弱性防止策をとること全体を指す。 software engineeringって、言葉しか知らない世界だったりする。(--ゞ 動けばいいんですよ、動けば。

第六章 IDS後半 検知(NIDS) Pattern match Anormally detection protcol RFC違反の検出 セッションハイジャック ソースIPを偽装 DoS traffic 敷居値を決めておく connection SYN, FIN, RST UDP, ICMP application バッファオーバーラン stateful signature …

第五章 Firewall VLAN (IEEE802.1Q Tag VLAN)によるmulti-segment化による集合型firewall。Netscreenのでかい奴のことだろう、きっと。内部的にTag VLANを使っているとは知りませんでした。 相関分析(correlation) 複数のLogの関連性からincientを予測する方…

第4章後半 UNIX OS PAM Pluggable Authentication Module 構成定義ファイルで認証モジュールを複数指定できる機能。 何となく認証に関する機能だとは知っていたものの、ちゃんと調べたことありませんでした。 sudo ISO/IEC 15408 Common Criteria TCSEC (Tru…

第四章 OSセキュリティ Windows Active Directory user, group, computer, domain, OU: Organization Unit, security policyのオブジェクトを格納できる。 domain: 最小単位、セキュリティ境界 domain の集合が domain tree domain treeの集合がforest LDAP…

最後の最後でかなりへこみました。orz

第二章後半と第三章 Layer2,3まわりは、もはやさっぱり分からなくなってます。 Routing Protcolの認証機能って、そういう目的のためにあったんだ！ RIP2, OSPF ICMP redirect messageってのがあるのか。 ARP Poisoning 単語からの推測ですが、ARPテーブルを…

第一章の残りと、第二章の最初の方。 ACL: Access Control Listなのね。Access ConTrolの事かと思っていた。orz MACとDACは初めて見た単語。内容の解説がないのが初級者向けたるゆえんか？ MAC: Mandatory Access Control DAC: Discretionary Access Control…

情報セキュリティプロフェッショナル総合教科書作者: 特定非営利活動法人日本ネットワークセキュリティ協会教育部会スキルマップ作成ワーキンググループ,佐々木良一出版社/メーカー: 秀和システム発売日: 2005/05/02メディア: 単行本 クリック: 11回この商品…

無茶なペースなのは自覚しつつも、第7章まで読み切って一週目終了。 同じ概念が複数箇所にまたがって出てくるため、後半になればなるほど既出項目が増える。体系的にまとめ直せば、覚えることの総量はあまり多くないと思います。 第六章の監査だけは別物とし…

遅れを取り戻すべく、一気に読み進める。 下記については、ちゃんと調べよう。 Challange Responce 公開鍵認証 ハイブリット方式 WEP, WPA, TKIP, 802.1x, 802.11i IPsec, AH, ESP, IKE, transparent mode, tunneling mode S/MIME, PKCS SET デジタル署名 PK…

「MMORPGのGMを詐称します」という表現が何のフォローもなく登場しているが、これは一般常識なんだろうか？ 情報資産のリストアップ -> リスク評価。真っ当なことを書いてあるが、実務を無視（現場との乖離）してるっすね。 「ウェットウェア」という言葉が…

基本情報午前完全合格教本〈2005年度版〉 (情報処理技術者試験) 基本情報午前完全合格教本〈2005年度版〉 (情報処理技術者試験)作者: 福嶋宏訓出版社/メーカー: 新星出版社発売日: 2004/12メディア: 単行本この商品を含むブログ (4件) を見るセキュアドの午…

第一章を流し読み よく出てくるセキュリティの三大要素。このレベルにbreak downすればすんなり理解できるのですが、言葉（特に日本語）からは分からない。特にIntegrityって訳がおかしいです。後半三つは初めて知った。 confidentiality: 機密性: 暗号化で…

Generic 試験日 2005年10月16日 出願期間 2005年7月中旬〜8月中旬 試験料 \5,100 平成15年度の過去問 午前 ネットワークまわりを中心に、半分程度は現状の知識で何とかなる 残り半分の対策用に、基本情報技術者のテキストを一冊用意 午後 論述問題のため答え…