« 2006年04月 | メイン | 2006年06月 »

2006年05月26日

EBCDIC で HTML

 触る機会が全くない文字コード EBCDIC ですが、 Internet Explorer は、 EBCDIC の HTML を表示できるようです。Firefox は、出来ないのかな。

hello.html.ebcdic

 ちなみに、「エビシディック」と読むらしいです。「イービーシー」じゃなくて「エービーシー」 (笑)

続きを読む "EBCDIC で HTML"

投稿者 kazuho : 2006年05月26日 14:43 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月19日

目指せバイナリアン (C-0.06)

 C-0.06 をリリースします。

ダウンロード: tgz / RPM

 RPM からそのままインストールするか、あるいは、tar.gz を展開して configure && make && make install してください。

 C-0.06 では、コンパイル結果をアセンブリで表示するオプション -S を追加しました。

続きを読む "目指せバイナリアン (C-0.06)"

投稿者 kazuho : 2006年05月19日 15:23 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月11日

はてな認証 API の改善案

 だんだん自分の中でも認証 API の問題が整理できてきたように思うので、改善案を書こうと思います。
 
 まず、そもそも認証 API に何を期待するのか、という点について。

続きを読む "はてな認証 API の改善案"

投稿者 kazuho : 2006年05月11日 10:59 | コメント (4) | トラックバック (1) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

Re: 攻撃してください→はてな認証の仮想セッション

 先のエントリについて、tociyuki さんが、「セッションを開始しておけば、第三者にそのセッション ID が漏れない限りハイジャックするのは難しいのでは?」ということで、

セッションを作るときは下のようにするのが通常のやりかたです。これに対して「攻撃者がステップ 10 および 11 から cert のみを取得でき、被攻撃者のクッキーを読めない」という前提で、攻撃のシナリオはどうしたら良いのでしょうか? 攻撃者と被攻撃者のクッキーのセッション ID は異なるとします。
(攻撃してください→はてな認証の仮想セッション)

というエントリを書いていらっしゃいます。

続きを読む "Re: 攻撃してください→はてな認証の仮想セッション"

投稿者 kazuho : 2006年05月11日 05:59 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月09日

はてな認証 API への攻撃シナリオ

 少し方向を変えて、 cert の漏洩に関する話です。

続きを読む "はてな認証 API への攻撃シナリオ"

投稿者 kazuho : 2006年05月09日 14:12 | トラックバック (1) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月08日

秘密鍵を後置している MAC の危険性

 先のエントリについて、結城さんが『「Hash ≠ MAC」の意味』に、まとめてくださっています。ありがとうございます。

16:37 追記: すいません。注1 の仮定が現実的でないように思います。よって、以下は成り立たないの攻撃は現時点では難しいかと。バイナリデータなら、TLV の L を、コリジョンデータの値が異なるところに着地させる可能なのかも。

 ついでに、秘密鍵が後置されている場合のリスクについても考えていたのですが、

  • ハッシュ関数の衝突例が知られている
  • 毎回選択平文攻撃が可能
  • ゴミデータの挿入が可能 (これは前置型と同等の条件)

の3条件がすべて満たされている場合は、危険なんじゃないでしょうか。

続きを読む "秘密鍵を後置している MAC の危険性"

投稿者 kazuho : 2006年05月08日 07:31 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月07日

Hash ≠ MAC

 ハッシュ関数を MAC (メッセージ認証コード; いわゆる秘密鍵による署名) として使用していけません、という件について。
 HMAC の論文を見たところ、様々な攻撃手法について述べてありました。ちなみに、今回のケースは、 Extension Attack です。引用すると、

続きを読む "Hash ≠ MAC"

投稿者 kazuho : 2006年05月07日 17:11 | トラックバック (1) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月06日

Re: はてな認証 API

 naoya さんありがとうございます、ということで、「認証APIのメモについてのレス」への返答です。

2006/5/7 追記:  1) で述べた MD5 による api_sig の偽装が可能であることを確認しました。この偽装を用いた攻撃は、auth.json および auth.xml については、1) に述べたとおり成功しません。認証リンクについては、仕様として任意のパラメータをハンドリングできる必要があるので、攻撃が成立してします (攻撃者がパラメータを追加することができる)。  よって、認証リンクの署名機能は壊れている、と言わざるを得ないように思います。

続きを読む "Re: はてな認証 API"

投稿者 kazuho : 2006年05月06日 20:59 | トラックバック (2) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

はてな認証 API

 はてな認証 APIについて、気になったことを、忘れないうちにまとめておこうと思います。同様の指摘が既にあるかもしれませんが。

続きを読む "はてな認証 API"

投稿者 kazuho : 2006年05月06日 13:21 | コメント (3) | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2006年05月02日

Lingua::JA::Summarize 0.03, 0.04

 Lingua::JA::Summarize の 0.03 と 0.04 をリリースしました。CPAN のミラーにはまだ届いていないと思いますので、http://search.cpan.org/~kazuho/ からダウンロード願います。

続きを読む "Lingua::JA::Summarize 0.03, 0.04"

投稿者 kazuho : 2006年05月02日 11:51 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

Perl Monger への道は遠い

 Lingua::JA::Summarize のリリースで、弾さんCharsbar さんをはじめ、いろいろな方からアドバイスをいただきました。ありがとうございます。そのうち、 Perl の書法について学んだことを、忘れないうちにまとめておこうと思います。

続きを読む "Perl Monger への道は遠い"

投稿者 kazuho : 2006年05月02日 11:38 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク