ssig33.com - よく分からない人のためのセキュリティ
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
最新版クレジットカードおすすめランキング!すぐに使えるのはこれ!
この記事では、最新版クレジットカードおすすめランキング10選について解説します。 クレジットカードは、商品を購入する際に所持金がなくても後から代金が支払えるカードです。 ポイント還元などさまざまな特典があるクレジットカードですが、カードによって特徴が異なるため、あなたに合うクレジットカードを選択するのは容易ではありません。 この記事で分かること オススメクレジットカードを口コミや年会費、ポイント還元率で選出 ポイント還元率が0.5%以上は還元率がよい ポイントアップがあるクレジットカードはポイントが貯まりやすい クレジットカードを初めて発行する人は年会費やポイント還元率に注目する 旅行や出張が多い人は旅行傷害保険が手厚いクレジットカードを選択する セキュリティを重要視する人はナンバーレスカードを選択する 2枚目のクレジットカードを作成する際は1枚目にない特典があるカードを選択する それぞれ
初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。 あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。 ★Webサイト構築 安全な
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
今日こそわかる、安全なWebアプリの作り方2010
2. アジェンダ • 本日の構成 – 脆弱性の分類 – Webアプリの構造と脆弱性の原因箇所 – 「入力」では何をすればよいのか – SQLインジェクション対策の考え方と実際 • 原理の話(グローバル) • 文字コードの話(グローバル&ローカル) – ケータイWebアプリのセキュリティ(ローカル) • 議論の焦点 – Webアプリケーションのセキュリティ施策の考え方 – グローバル v.s. ローカル – 対策の歴史とあるべき姿 Copyright © 2008-2010 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何
FFFTP開発終了で大騒ぎしている人たちへ - OR6 blog
最初に断っておきますが、FFFTP自体は良いアプリケーションソフトウェアだったと思います。UIがWindowsのエクスプローラに倣っていると同時にエクスプローラとはひと目で見分けがつくデザインだったので、使いやすかったはずです。 ぼくもインターネットをはじめたごく最初の頃に使っていました。ほどなくしてWindows自体を使わなくなったので、それ以来触ることはなくなったわけなのですが。 FFFTPは何故開発終了したのか開発者は「開発を継続するためのモチベーションが維持できなくなった」と述べているそうですが、まあ当たり前だと思います。 FFFTPが動作するWindowsとFFFTPが扱うプロトコルであるFTP自体がオワコンだからです。前者については幾ばくかの反論の余地もあるでしょうが、後者については異論は認めません。 「終わった」プロトコルのためのソフトウェアを作り続けるというのは、プログラマ
初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本を必須に入れるか迷ったけど、あの厚さは、万人は読めないので、上位ランクだけど必須からははずした。 ★Webサイト構築 安全なウェブサイトの作り方 改訂第5版 http://www.ipa.go.jp/security/vuln/websecurity.html 携帯ウェブサイトの実装方法を追加 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ★発注仕様 発注者のためのWebシステム/Webアプ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
