EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。
クラウドに関連したセキュリティ対策が問われることが多くなってきている。情報システムを開発・運用する立場としては、「いかにクラウドを安全に守り、安心して運用するか」ということが問題になるからだろう。 他方で、情報セキュリティ専門家の中では別の側面でクラウドが注目されている。それは「クラウドはどのように悪用されうるか?」である。つまり、クラウドという手段を犯罪者が悪用した場合、どのような脅威が生じうるかについて現実的なシナリオを評価するということだ。 既にクラウドが悪用されている実態もある。本稿では、そのような「クラウドを悪用した情報セキュリティ上の攻撃の実態」について読者の皆さんに知っていただく目的でまとめる。
Firewall(ファイアウォール) 製品紹介 Personal Firewall(パーソナル ファイアウォール)部門 淡い黄色の製品は個人で利用するなら無償です
今回から5回にわたって,アプリケーション全体に関する文字コードの問題と対策について説明する。文字コードがセキュリティとどう関わるのか,疑問に思うかもしれないが,Webアプリケーションで文字コードを指定可能な個所は非常に多く,しかも文字コードの選定や処理方法次第ではぜい弱性の原因になることが分かってきている(図1)。実は文字コードはWebアプリケーションのセキュリティ問題の最新の話題と言ってよい。 2008年10月に開催されたセキュリティ・イベントBlack Hat Japan 2008では,ネットエージェントの長谷川陽介氏が「趣味と実益の文字コード攻撃」と題して,文字コード問題の広範なプレゼンテーションを発表した 。そのプレゼンテーション資料が発表されている のでこの問題の詳細に関心のある方は参照されたい。ここでは,セキュアなWebアプリケーションを開発するために文字コードの問題をどのよう
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
iPhoneのJailBreak(以下JB)に関して、よくわかりもしないくせに過度に危険性のみを吹聴するのはいい加減、やめないか。 ■ OpenSSHの危険性 もちろん、JB後にOpenSSHをインストールして、ID,PASSをdefaultのroot/alpineのままにしておくのは論外だ。 これだけは絶対にやめていただきたい。 まず、Terminalをインストールしてsuでsuper userになって、passwdでパスワードを変更すればとりあえずは大丈夫だ。 よりsecureにするには、以下の説明を。 OpenSSHを安全に使う設定(jailbreak後) http://iphone.goodegg.jp/archives/186 ■ 他のportが開いてしまう可能性 JBしたあとにインストールしたアプリによってその他のportが開いてしまう可能性は、ある。OpenSSHで使うpor
XSSで何ができるか? cookie情報、formの送信内容を盗む、偽の情報を見せる 「信頼出来ないWebサイト」でのXSSはそもそも無意味 信頼してほしいならXSSくらい直せ イントラだったら関係ない? むしろイントラ内の方が盗みたい情報がいっぱいある JSONによる秘密情報の漏洩 JSON Hijacking Object.prototype.__defineSetter_で特定プロパティが設定されたら何らかの処理を行うようにする。 JSONをHTMLとして読み込むと上記のコードが入る。 対策 先頭にwhile(1);をつけて、JavaScriptとして実行出来ないようにする(Googleがやった) POSTのみ許可 XHRで特定のリクエストヘッダをつけるようにする レスポンスヘッダにcharsetを指定する charsetにUTF-7を指定すると、きちんとエスケープされているJSON
セッションの詳細についてはこちらを参考にしてください パネラーにはあのまちちゃんが、ということで大盛況でした。 モデレーターの竹迫さんがお題となる10のテーマを提示して、それについてパネラーの人が答える、という形式です。 はまちちゃんインフル三日目(汗) 自己紹介 NAMAZUの脆弱性対応 高木先生からの指摘 指摘がオープンになっていて、あわてて非公開に。 XSSについて 信頼できないサイトでは対策は無意味(はせがわさん) 一番信用できるのははまちやドットコム(笑) mixiの騒動の時に情報を抜かなかったら。む 例えばIEを使わない(大垣さん) イントラネットでも危険 JSONの脆弱性について そのままでは読めない(出来たらこの辺、JSONPについても欲しかったです) セッターとプロトタイプチェーンの組み合わせで、一部のモダンブラウザでは読み出せる JavaScriptでは、JSONによっ
ストーリー by reo 2009年02月14日 10時00分 アンテナとか RSS で ? 部門より 仕事柄 IPA のサイトを覗く事が多いのですが、昨日付けでメールソフトの Becky についての脆弱性が報告されておりました (/.J 記事)。既に Becky 側では最新バージョンにて対応しているとの事で早速バージョンアップしてみたわけですが、しばらくバージョンアップしてなかったせいか色々と機能が追加されてて便利になってました (心なしか検索スピードとかも上がっている模様) 。 そこで /.J 諸氏に質問です。Windows 等の OS については自動的にアップデートする仕組みが整っているわけですが、パッケージソフト、シェアウェアやフリーウェアではそこまでアップデート機構が整備されているものが多くはないと思います。自動でアップデートの仕組みがないソフトについて皆様はどのようにアップデー
ロボットによるユーザ登録やメール送信などを防ぐ目的で使われるCAPTCHA。ロボットははじけるかも知れないが、ユーザビリティは著しく低下する。最近ではCAPTCHAを解析するものも登場しており、さらに分かりづらく変形して人間すら惑わすものになっている。 スライドアクションでロボットと人間を区別 そこで注目したいのが新しい形の人とロボットの区分けをつける手段だ。その一つとしてSlideSubmitを紹介しよう。 今回紹介するフリーウェアはSlideSubmit、スライダーを使ったユーザビリティの高いメール送信フォームだ。ソースコードは公開されているが、ライセンスは明記されていなかったのでご注意いただきたい。 SlideSubmitはPHPやJavaScriptで作られているソフトウェアだ。サンプル的なフォームで、名前とメールアドレス、それに本文を入力して送信するというフォームになっている。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年10月時点の調査。
ハワイでも雨上がりにはしばしばアフリカマイマイ(英語でGiant African Snail)に出会います。日本でも沖縄や小笠原では嫌と言うほど見る機会があるのですが、その他の地域の人には見慣れないカタツムリでしょう。 本種は、名前からもわかるようにアフリカ大陸原産で、大きくなると大人の“こぶし”よりも大きい殻をまといます。軟体部も大きく、黒っぽい色がついていて、気持ち悪いと感じる人も多いでしょう。実際、広東住血線虫(かんとんじゅうけつせんちゅう)を体内に宿していることが多く、手で触れたまま物を食べたりすると危険でもあります(人の体内に線虫が入ると、好酸球性髄膜炎 [こうさんきゅうせいずいまんくえん] などを引き起こし死に至ることもある)。 本種は、もともと食用(ちなみにフランス料理のエスカルゴもカタツムリの一種)や薬用としてさまざまな地域に意図的に導入されてきた経緯があります。 文献から
万一ウイルスに感染した場合の緊急脱出テクとして、KasperskyのRescue Diskを覚えておいて欲しい。ウイルスのせいで起動不能なマシンを、CDブートによって起動させ、Kasperskyのアンチウイルスを利用したウイルス駆除を行うためのCDだ。 ウイルスに感染すると、「駆除を行おうにも、そもそもWindowsが起動しない」という状態になってしまうケースがある。マシン/HDDが複数台あれば良いが、一台しか持っていない場合は大問題だ。「Windowsを再インストールさせればウイルスは消える」が、「再インストールする以上、現在HDDに入っているデータは全て諦めなくてはならない」ということになる。 ……ということで、起動不能なマシンを強制的に起動させ、HDD内のウイルスを駆除する「レスキューディスク」というものが必要になる。そして、せっかくレスキューディスクを使うなら、検出率などで「最強」
公開: 2009年2月2日19時10分頃 ロックオン福田さんとJPCERT/CCの安藤さん、佐藤さんのお話。JVN#81111541 (jvn.jp)のハンドリングについて。 ※「おーい、ポスターはっといてー」という感じで、CHECK PC! のポスター (www.checkpc.go.jp)が貼り出されたり。 EC-CUBEについて株式会社ロックオン / 大阪本社・東京支社 従業員約40名EC-CUBEはオープンソースのECソフト2007/11から配布、現在では約3,000店舗が利用。毎月200店舗くらいのペースで増加。参考情報として、楽天のショップ数は24,000くらい。3,000という数字はけっこう多いと言って良い 問題の概要8/27 : EC-CUBE で SQLインジェクションの脆弱性発見、管理者権限奪取可能10/1 : JVN#81111541の一般公開・IPA注意喚起EC-C
bakera.jp > 水無月ばけらのえび日記 > 第4回まっちゃ445「インシデントレスポンスの現場から ~事件は会議室で起きているんじゃない。現場で起きているんだ。~」
ボットウイルスは、その目的から感染をしていてもユーザに気づかれないように密かに活動をします。 一度感染すると、外部の悪意の第三者からあなたのパソコンが遠隔コントロールされ、スパムの送信感染拡大、DDoS攻撃など他の人への迷惑行為を行うばかりか、あなたのパソコン内のあらゆる情報を盗み出す危険なウイルスです。 下記の手順に従って、感染していないかの確認、駆除、および感染しにくい環境作りをしてください。
タイトルは釣りですJK。はしたなくてすみません。 以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。 さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、例えプライベートフォルダを作成して保存をしている画像であっても第三者に表示されてしまう、ということはご存じでしょうか(有名な話ですが)。 例をあげてみます。 id:komatakアカウントのプライベートフォルダにはハンバーガー食べてるkomatakさんがいらっしゃいました。このURLです。 http
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く