遺伝子を効率よく改変するゲノム編集研究の第一人者で米ブロード研究所のフェン・チャン主任研究員は、エボラ出血熱やジカ熱の早期診断技術を開発したことを明らかにした。ウイルスの遺伝情報が…続き 受精卵のゲノム編集、なぜ問題 優生思想と表裏一体 [有料会員限定] ゲノム編集食品 販売容認、条件満たせば安全審査なし [有料会員限定]
SQLインジェクション攻撃に対抗する際に,最も重要なのは企業のWebサイトの対策だ。サイト開発時にWebアプリケーションにSQLインジェクションのぜい弱性を作らないことが第一である。 そのためにはWebアプリケーションがデータベースに不正なSQLを渡さないよう,Webサイトの実装を工夫する必要がある。例えばデータベースでバインド機構を利用する,データベースに渡すSQLに適切なエスケープ処理を施すといった対策が有効だ(図1)。 こうした対策を実施するのは,技術的にはさほど難しくない。しかし,インターネット上にはSQLインジェクションのぜい弱性を残したWebサイトが今でも多数存在する。試しにSQLインジェクション攻撃を受けたWebサイトに特有の文字列をGoogleで検索してみると,改ざんされたWebサイトが多数検出できる(図2)。これは,対策の必要性や手法をすべての開発者に教育するのが非常に難
DNSぜい弱性によって全世界の1/3のユーザーが危険にさらされた 米アイオーアクティブ ペネトレーション・テスティング・サービス ディレクター ダン・カミンスキー氏 2008年7月に大きな問題となった「DNSキャッシュ・ポイズニング」(関連記事1,関連記事2)。DNSぜい弱性の研究者として有名なダン・カミンスキー氏は「8月末時点で全世界の3分の1のユーザーが危険な状態にあった」と語り,まだ危機が去ったわけではないことを示唆した。 DNSキャッシュ・ポイズニングは,DNSサーバーに偽の情報を埋め込む攻撃。エンドユーザーを偽のWebサイトに導いたり,メールを悪意あるサーバーに配送させたりといった被害を起こす危険性がある。ネットワークのインフラストラクチャを狙った攻撃だ。 2008年10月5~10日に開催されたセキュリティ・カンファレンス「Black Hat Japan 2008」のために来日し
ラックの分析によると、企業のWebシステムを狙う攻撃の手口や傾向に従来にはみられない特徴が現れているという。 ラックは9月17日、ネットワーク監視サービスで観測したインターネットの脅威動向を取りまとめた報告書「2008年上半期インターネットの脅威動向」を発表した。SQLインジェクション攻撃を利用したWebサイト被害やパッケージ型Webアプリケーションを狙う攻撃などの動向を紹介している。 同調査は、ネットワーク監視サービスを利用している国内企業約350社を標的にしたとみられる攻撃の動向を分析したもの。対象期間は1月~6月(一部は8月まで追跡調査を実施)。2008年上半期に観測された攻撃では、SQLインジェクション攻撃を利用してWebサイトの改ざんを試みる行為やパッケージ型Webアプリケーションの脆弱性を狙うもの、SSHサービスを突破してシステムの乗っ取りを狙うものが急増した。 特にSQLイン
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。 Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日 この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。 当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く