安全なウェブサイトの作り方 - 1.4 セッション管理の不備 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
IPA、DX未着手・途上企業のための「DX実践手引書 ITシステム構築編」完成版を公開
IPA(情報処理推進機構)は10月26日、日本企業のDX推進をめざして2021年11月に公開した「DX実践手引書 ITシステム構築編」に、DX実践の課題を克服した事例やAPI活用事例、API全体管理やアジャイル開発といった技術要素の解説を追記し、完成版を公開した。 IPAは2021年11月、DX未着手・途上企業の担当者を技術的側面から支援するため「DX実践手引書 ITシステム構築編」を公開し、DXを実現するためのITシステムとそれを構成する技術要素群の全体像を「スサノオ・フレームワーク」として提示した。その後も同フレームワークとクラウド、IoT、APIといった技術要素の関連を追記するなど改訂を続けてきた。今回、DXに先行して取り組んだ企業がぶつかった課題を克服した事例や、技術要素としてのAPI活用事例とAPI全体管理、アジャイル開発の解説を追記し、完成版を公開した。今回追記した主なポイント
MyJVN API
MyJVN API とは MyJVN API は、JVN iPedia の情報を、Web を通じて利用するためのソフトウェアインタフェースです。誰でも、MyJVN が提供する API を利用して様々な脆弱性対策情報を取得し、脆弱性対策情報を利用したサイトやアプリケーションを開発することが可能となります。 現在、MyJVNで提供中のAPIは次のとおりです。詳細については各ページを参照のうえ、利用上の規約を踏まえてご利用ください。 また、本サービスを利用して開発したアプリケーションによって表示される情報には、MyJVN API により提供されたものである旨を表示していただくご協力をお願い致します。 ■MyJVN API に関するお問い合わせ 宛先: (問合せ様式) MyJVN API (HND/ITM) バージョン
アジャイル開発を外部委託するときの契約事項をまとめた「情報システム・モデル取引・契約書」を改訂 IPA
情報処理推進機構(IPA)は2021年10月6日、アジャイル開発版「情報システム・モデル取引・契約書」を改訂した。厚生労働省が同年9月21日に公表した「『労働者派遣事業と請負により行われる事業との区分に関する基準』(37号告示)に関する疑義応答集(第3集)」に関する情報を追加した。これに伴い、「アジャイル開発外部委託モデル契約(解説付き)」も更新した。 アジャイル開発版情報システム・モデル取引・契約書は、IPAが設置した「モデル取引・契約書見直し検討部会」と「DX対応モデル契約見直し検討WG」で検討された、アジャイル開発を外部委託する際のモデル契約についてまとめたもの。アジャイル開発を外部委託する際の契約条項とその解説、補足資料で構成されている。 発注者の意見が反映されるアジャイル開発は偽装請負になる? 改訂の基になった「労働者派遣事業と請負により行われる事業との区分に関する基準」(37号
6-6. C++デストラクタによる安全な資源解放
プログラムが確保したリソースは,利用後,適切に解放しなければならない。確保したリソースを解放し忘れると,しばしばプログラムが予期せず終了することもある。ネットワークサービスを提供するプログラムにこのような不具合があると,サービスを提供できなくなる場合がある。 リソース解放忘れでもっとも有名な問題は,やはり「メモリリーク問題」だろう(関連記事『6-5. メモリリーク』)。システムのメモリ容量は有限だ。プログラムがメモリ領域を作業用に確保したいとき,malloc( )関数によりシステムからメモリ領域を借り入れる(確保)ことができる。借り入れたメモリ領域を使って作業を済ませたなら,必ずそのメモリ領域をfree( )関数でシステムへ返却(解放)しなければならない。メモリリーク問題は,プログラムが適切にfree( )関数でメモリ領域を解放しないことにより,システムの貸し出し可能なメモリがどんどん消費
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
プレス発表 プログラム言語RubyのJIS規格(JIS X 3017)制定について:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)に設置したRuby標準化検討ワーキンググループ(委員長:中田 育男 筑波大学名誉教授)にて原案作成を進めてきたプログラム言語Rubyの技術規格書が、JIS規格、JIS X 3017として、2011年3月22日に制定されました。 JIS規格化されたことにより、Rubyの相互運用性(*1)が向上し、Rubyを用いてより生産性の高いプログラム開発・システム開発が可能になります。 概要 Rubyは1993年に日本で発案され、開発が開始された、日本発のプログラム言語です。豊富な機能と簡便さとを併せ持ち、高機能なアプリケーションを簡潔に記述できる等の特長から、セールスフォース・ドットコムや楽天など、国内外に有名な数多くの会社のアプリケーション開発やシステムの開発に用いられています。また、島根県や福岡県などは、Rubyを核とした地域ソフトウェア産
IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
セキュリティエンジニアリング:IPA 独立行政法人 情報処理推進機構
インターネットアプリケーションを開発する際には、各種セキュアプロトコルについての知識が必要です。 インターネットセキュリティに関する RFC RFC(Request for Comments)は、IETF(The Internet Engineering Task Force)におけるインターネット標準化活動によって公表される一連の公式文書です。セキュアプロトコルの実装を促進するため、インターネットセキュリティに関するRFCを掲げ、重要な RFCについてはを日本語に翻訳して提供しています。 アイデンティティ管理技術解説 広義のアイデンティティ管理技術の分野において、インターネットプロトコルが使われています。組織内のアカウント管理において使われるのみならず、インターネット上におけるユーザ認証、属性情報交換、アクセス認可においても多種多様なプロトコルが利用されます。 PKI 関連技術情報 PK
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、IT人材の適材化・適所化に向けた調査報告書を公表
5546件のデータ分析で分かった「ソフト開発の信頼性も生産性も低下」という冷淡な事実 IPAの狙いは?
https://jp.techcrunch.com/2020/11/13/ipa-quantum-computing/
書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
約6万字を網羅した「IPAmjPUP」を公開! : Windowsはもういらない
高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件 | ScanNetSecurity