タグ

セキュリティに関するTetsu3のブックマーク (8)

  • “まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン

    一般企業への2つの応用ケース 前編「カード業者じゃなくてもセキュリティに効く? 一般企業にとってのPCI DSS」では企業のPCI DSSへの対応意義などについて触れた。カード決済にかかわらない一般企業へのPCI DSSの応用については、稿に限らず米フォレスターコンサルティング(Forrester Consulting)なども「PCI DSSは、データセキュリティモデルとして参照することができる」としている。 PCI DSSの一般企業への応用には2つのケースが考えられる。1つは、一企業としてセキュリティ環境を構築する際のセキュリティ水準の目安としてPCI DSSの要求事項を参考とするケース。そして2つ目は、関係会社や取引先といったサプライチェーンを構成するグループ企業全体のベースラインセキュリティを確立するための統一基準として利用するケースである。特にデータセキュリティスタンダード(DS

    “まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン
  • Inside Yahoo!メール 第1話「迷惑メールとBotnet」

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ソーシャルネット開発部の島貫和也です。Yahoo!メールの配送システムおよび迷惑メール対策を担当しています。 Yahoo!メールはプロバイダ(Yahoo! BB)のメールサービスでもありますが、フリーメールとしての側面もあるため、非常にさまざまな方に多様な形態で利用されています。このようなサービスでは、迷惑メールなどの不正利用を前提とした対策が必要不可欠といえます。 連載では、今まであまり触れられてこなかったYahoo!メールの迷惑メール対策と、電子メールに関連する情報を数回に分けてご紹介したいと思います。 ご注意 出典元の説明のため、いくつか外部リンクがあります。リンク先については保証しておりませんのでご了承くださ

    Inside Yahoo!メール 第1話「迷惑メールとBotnet」
  • Web 2.0時代のWebアプリケーションセキュリティー

    はじめに Ajax(Asynchronous JavaScript + XML)やマッシュアップ(Mashup)に代表されるWeb 2.0技術は、そのリッチで使いやすいユーザーインターフェイスや高速なレスポンス性から、現在のWebアプリケーション開発のトレンドの一つとなっています。現在注目を集めているクラウド・コンピューティングにおいても、雲(=インターネット)から提供されるサービスを使用したり連携するために、AjaxやJavaScriptはよく用いられます。しかし、セキュリティーの観点から見ると、これらWebアプリケーションやその主要な実行環境環境であるWebブラウザーには、さまざまなセキュリティー上の脅威が存在します。図1は、IBMのセキュリティ部門の一つであるISSが公開しているセキュリティ脅威のトレンドとリスクに関するレポート2008年版によるもので、ISSが検知したWebアプリケ

    Web 2.0時代のWebアプリケーションセキュリティー
    Tetsu3
    Tetsu3 2009/04/22
    セキュリティがわかってないとサイト構築はできない。
  • DoS攻撃の手口を知る

    DoS/DDoSアタックが日においてもいよいよ社会問題化しつつある。2004年9月から始まった靖国神社WebサイトへのDDoSアタックはニュースにもなり、経過が報告されている(http://www.yasukuni.or.jp/new/osirase.htm)。また2004年11月には大阪府のサーバがアタックを受け、約2時間20分にわたって同府のWebサイトにアクセスできないという状況になった。 業界専門誌である『日経コンピュータ』誌の人気特集コーナー「動かないコンピュータ」でも2005年1月24日号にてDDoSアタックによる被害状況が報告されている。情報システム担当者にとってはDoS/DDoSアタックへの対策が待ったなしの状況になりつつあるといえるのではないだろうか。 DoS/DDoSアタックとは DoSアタック、DDoSアタックは一般的に前者がサービス拒否攻撃(Denial of S

    DoS攻撃の手口を知る
    Tetsu3
    Tetsu3 2009/03/02
    DoS恐いよ。
  • Immortal Session の恐怖 : 404 Blog Not Found

    2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は人が気付いてもパスワード変えてもセッション残

    Immortal Session の恐怖 : 404 Blog Not Found
    Tetsu3
    Tetsu3 2009/02/06
    cookieのsessionIDだけで認証するとあぶない的な話。
  • OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic

    This shop will be powered by Are you the store owner? Log in here

    Tetsu3
    Tetsu3 2009/02/06
    OpenIDやOAuthの話。よくまとめてある。凄い。
  • Tender Surrender » Cajaとは何か

    OpenSocial周りの調査をしていると、Cajaという言葉に遭遇します。セキュアなJavaScriptを実現するもの、ということだけ分かっていたのですが、詳細を調べてみました。 クロスサイトスクリプティングとブログパーツ gooやlivedoor、fc2などのホスティングを含めたブログサービスを使ったことのある方はご存知と思いますが、サービスによってブログパーツが貼れるもの、貼れないもの、一部だけ許可しているものがあります。なぜでしょうか? Cookieには同一ドメインから実行されたスクリプトしか参照できないという特徴があります。これを利用して、Cookieをセッション情報や閲覧履歴の保存場所として活用しているサービスは少なくありません。上記ブログサービスがブログパーツを許可しないのは、これらの情報を悪意のあるJavaScriptから守るためです。逆に言うと、同一ドメイン上でJavaS

  • 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」

    売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」:Security&Trust ウォッチ(53) 数々の名作セキュリティコンテンツを生み出してきた、情報処理推進機構(IPA)が放つ新たなタイトルは、ロールプレイング形式のゲーム「安全なウェブサイト運営入門」。作の特徴はその現実感にある。同じような業務に携わったことがあるならば、ここでの出来事に「あるある!」と感じるのではないだろうか。 ある日、あなたは会社の新規事業であるネットショップの運営担当者に任命される。次々とわき起こる問題や攻撃を解決しながらネットショップを運営し、見事に売り上げを上げ続けることができるだろうか!? ……と、ゲームの紹介風に取り上げてみましたが、IPAの「安全なウェブサイト運営入門」はれっきとした情報セキュリティの啓発や教育に使える正統派のコンテンツです。難しく覚えにくいセキュリティ

    売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
  • 1