- 自動ログオン
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  DefaultPassword にパスワードが公開されている可能性がある．

- 自動ログオン 対処法
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  AutoAdminLogon が 1 なら 0 にして AutoLogon を Offにする．

  以下を削除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  DefaultUserName
  DefaultPassword

  自動ログオンで使用するパスワードを LsaStorePrivateData API を使用してプログラムで保存すると
  以下のレジストリキーに暗号化されて保存される．
  HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
  HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal

- 匿名ユーザーの制限

・ダウンレベル メンバ ワークステーションまたはサーバーは，Netlogon のセキュリティで保護されたチャネルをセットアップできません．
・信頼する側のドメインのダウンレベル ドメイン コントローラは，Netlogon のセキュリティで保護されたチャネルをセットアップできません．
・Microsoft Windows NT ユーザーは，パスワードの有効期限が切れた後にパスワードを変更できません．また，Macintosh ユーザーはパスワードをまったく変更できません．
・ブラウザ サービスは，レジストリ値 RestrictAnonymous が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ，マスタ ブラウザ，またはドメイン マスタ ブラウザから，ドメインの一覧またはサーバーの一覧を取得できません．この結果，ブラウザ サービスに依存しているすべてのプログラムは正常に機能しません．

- Reference
  Windows2000でレジストリ値 RestrictAnonymousを使用する方法
  http://support.microsoft.com/default.aspx?scid=kb;ja;246261

- 脆弱性の概要
  非アクティブなタブ内のWebページ上で表示されるはずのダイヤログボックスが
  アクティブなタブのWebページ上に表示されてしまう．
  ダイヤログボックスに入力したデータは非アクティブなタブのWebページに送信されてしまう．
  これによって，信頼できるWebサイトへデータを送信したように見せかけることができる．

- 脆弱性の根本的原因
  JavaScript機能ではなく，
  同一ウィンドウ内に複数のWebページを表示できる「タブ切り替え」機能に潜んでいる．

- 脆弱性確認ページ
  Secunia - Multiple Browsers Dialog Box Spoofing Test
  http://secunia.com/multiple_browsers_dialog_box_spoofing_test/
  Secunia - Multiple Browsers Form Field Focus Test
  http://secunia.com/multiple_browsers_form_field_focus_test/
- Reference
  窓の杜 - 2004-10-21
  http://www.forest.impress.co.jp/article/2004/10/21/tabbrowsersecad.html

- SQLインジェクション
  SQLデータベースに対し，外部から任意のコマンドを与えることができる状態
  http://altba.com/bakera/hatomaru.aspx/glossary/00530051004c30a430f330b830a730af30b730e730f3
- サニタイズ
  危険な文字列を含む「汚染された」入力から危険な文字を取り除き，無害化すること
  http://altba.com/bakera/hatomaru.aspx/glossary/30b530cb30bf30a430ba
- Reference
  @IT - Security & Trust - Webアプリケーションに潜むセキュリティホール
  http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html

- Reference
  LTH:HC2
  http://www.learntohack.org/HC2/level1.php
- via
  今日のオススメネタ - 2004-05-25
  http://blog.livedoor.jp/koro_/archives/697213.html

- stunnel をインストール
  Stunnel.orgから以下の二つのファイルをDL.
  stunnel-4.05.exe
  openssl.zip

- stunnel.confの作成

client=yes
debug=0
[pop3s]
accept=10110
connect=pop.home.ne.jp:995

[smtps]
accept=10025
connect=smtpa.home.ne.jp:465

- 解凍
  stunnel-4.05.exe と openssl.zip を解凍
  stunnel.confも同じディレクトリに移動．

- コマンドプロンプトからインストール
  解凍したディレクトリから

stunnel-4.05 -install

- stunnelの実行
  Windowsを再起動．
  stunnelがサービスとして開始される．

- stunnelがサービスとして開始されなかった場合
  [コンピュータの管理] - [サービスとアプリケーション] - [サービス] から自動起動するよう設定

- Becky側の設定
  [メールボックスの設定] - [基本設定]タブ

550 5.7.1 <example@example.com>... Relaying denied. Proper authentication required.

- トラブル: サービスとして起動できない
  stunnelをインストールしたディレクトリにAdministrators権限が無いとサービスとして起動できない．

- Reference
  shibataism.com: ザ・ITアーカイブ
  http://www.shibataism.com/mt/archives/cat_it.html#000095
  イサカ・インフォ - メールソフトの「SSL化」
  http://people.cornell.edu/pages/kt34/ithaca_info/ssl.html
  @IT - Security Tips - SSL非対応メーラのSSL化
  http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/018stunnnel.html

- Summary
  マイクロソフト社が主催するセキュリティトレーニングプログラム．
  全国47都道府県でそれぞれ実施．対象は合計2万人．
  コースはIT Pro#1，IT Pro#2，Developerの3種類
  参加費無料
- 日時と場所
  2004-03-10 - 2004-04-16
  東京: 新宿住友ビル
- Reference
  SECURE SYSTEM Training Tour 2004
  http://www.event-info.jp/events/sstt2004/
- via
  ITMedia - MS、全国の技術者2万人に無償セキュリティトレーニング
  http://www.itmedia.co.jp/news/articles/0402/02/news008.html

- Summary
  マイクロソフト社が主催するセキュリティに関する取り組みや最新情報を説明するイベント．
  参加費無料
- 日時と場所
  2004-03-08 14:00 - 16:00
  パシフィコ横浜 国立大ホール
- Reference
  SECURITY SUMMIT 2004
  http://www.event-info.jp/events/ss2004/
- via
  ITMedia - MS、全国の技術者2万人に無償セキュリティトレーニング
  http://www.itmedia.co.jp/news/articles/0402/02/news008.html

- Summary
  [2003-09-05-3]: Microsoft Baseline Security Analyzer のバージョンアップ
  日本語版も同時リリース
- 変更点
  以下の脆弱点を確認可能に
  Microsoft Exchange Server 2003
  Microsoft Data Access Components
  MSXML
  Microsoft Virtual Machine
  Microsoft Content Management Server
  Microsoft Commerce Server
  Microsoft Host Integration Server
  Microsoft BizTalk Server
  Microsoft Office
- Reference
  Microsoft Baseline Security Analyzer
  http://www.microsoft.com/japan/technet/security/tools/mbsahome.asp
- via
  窓の杜 - 「Microsoft Baseline Security Analyzer」v1.2の日本語・英語版がリリース
  http://www.forest.impress.co.jp/article/2004/01/20/mbsa12.html

- 戯言
  なら，今のうちに焦らなくていいのかな? > 砂岡さん
- Reference
  CNET Japan - 米MS、パッチ未適用ユーザーのためのWindowsパッチCDを準備中か
  http://japan.cnet.com/news/ent/story/0,2000047623,20062528,00.htm

- Reference
  0day-exploits - Exploits Vulnerabilities Codes
  http://www.k-otik.com/exploits/

- zonemap.reg - 制限付きゾーンファイルを設定する
  http://apollo.u-gakugei.ac.jp/~sunaoka/misc/iesec/zonemap.reg

- history.reg - Cookie 受け入れを拒否する
  http://apollo.u-gakugei.ac.jp/~sunaoka/misc/iesec/history.reg

- Reference
  今日の戯言 - Internet Explorer 6.x のプライバシ機能について
  http://apollo.u-gakugei.ac.jp/~sunaoka/misc/iesec/

- http://www.techmatrix.co.jp/sanctum/HackingDemo/Hackers_Final_Web_J.swf
- via
  たつをのChangeLog - 2003-08-31
  http://chalow.net/2003-08-31.html#2003-08-31-1

- TCP 593 を塞ごうとルータの設定を見たら
  いつの間にか，161-162 が塞がっていた．
  調べてみたら，SNMPv1 脆弱性対策だった．
- MS03-039: RPCSS サービスのバッファオーバーラン
  塞ぐべきポート

- Baseline Security Analyzer
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp
- HFNetChk
  Baseline Security Analyzer がインストールされたディレクトリで

mbsacli /hf -x stksecure.xml

  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/tools/hfnetchk.asp
- セキュリティ ツールキット 更新情報
  マイクロソフトが提供するセキュリティツールキットに関する更新情報を一覧することができます
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/stkupdate.asp
- 日本語環境用 XML DB の cab 形式ファイル
  http://download.microsoft.com/download/xml/security/1.0/NT5/JA/mssecure.cab
- Reference

- Summary
  MySQL の安全な運用法
- Reference
  http://www.securityfocus.com/infocus/1667

- Summary
  BIND の安全な運用法
- Reference
  http://www.securityfocus.com/infocus/1361

- Summary
  Apache の安全な運用法
- Reference
  http://www.securityfocus.com/infocus/1694

- Summary
  SSL (mod_ssl) を用いた Apache の安全な運用法
- Reference
  http://www.securityfocus.com/infocus/1356

- Summary
  Linux および Unix システム上で安全なプログラムを書く際に必要となる設計や実装についてのガイドライン
- Reference
  Secure Programming for Linux and Unix HOWTO - 邦訳
  http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/
  Secure Programming for Linux and Unix HOWTO - 原文
  http://www.dwheeler.com/secure-programs/

- 個人認証の方法
  電話番号
- 問題点
  店以外の人に電話番号を聞かれる虞がある．
- 追記
  一部の店だけかもしれないが，個人的に嫌