タグ

セキュリティに関するWINGSのブックマーク (17)

  • Let's Encrypt 総合ポータル

    Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・

    Let's Encrypt 総合ポータル
  • PHPプロ!PHP講座新着順

    平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 件に関するお問い合わせはこちらよりお願いいたします。

  • もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

    たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ

    もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
  • 徳丸浩の日記

    日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。 書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and Misconceptions」で、米国Amazonのレビューでは4.6の高評価を得ています。また、「インターネットの父」ことヴィントン・サーフ氏が書に前書きを寄せています(後述)。 はじめにサイバーセキュリティは、その短い歴史にも関わらず、神話や都市伝説に満ちています。古典的なものとして、書の冒頭では、「ウイルス対策企業が自社製品を売るためにマルウェアを作って拡散した」が紹介されています。 書は、このようなセキュリティの都市伝説や神話をとりあげ

  • 「PCでは見えないはず」に頼ることの危険性

    “特殊だ”と形容されることの多い日の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhoneAndroid端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通

    「PCでは見えないはず」に頼ることの危険性
  • Webアプリケーション作った後のチェック表

    愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン

  • 徳丸浩の日記

    サーバーの能力の問題もあり、「徳丸浩の日記」を以下のURLに移転致します。旧のコンテンツはそのままとし、新しいエントリから新ブログの方に書いていきます。 徳丸浩の日記 (blog.tokumaru.org) 新ブログの最初のエントリとして、「ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る」を書きましたので、ぜひお読みください。 _PDO/MySQL(Windows版)の文字エンコーディング指定の不具合原因 前回のブログ「PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合(脆弱性)あり」にて、PHP5.3.6(エントリ執筆時点での最新版)からPDOにてサポートされた文字エンコーディング指定がWindows版では正しく動作しないことを報告しました。Linuxでは正常に動作するので不思議だなという話になっていたのですが、千葉征弘さん(@nihe

  • ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)

    補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブはてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win

    ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
  • グーグル、「Google Apps」の政府向けバージョンを提供

    カリフォルニア州マウンテンビュー発--Googleは、米政府向けに同社のオンラインオフィススイート「Google Apps」を提供する準備が整ったと述べている。 Googleは、同社社で開かれた報道向け説明会で、政府機関向けに特別に設計されたAppsスイートの新しいバージョンを発表した。このバージョンは、Google Appsの既存のバージョンと並んで販売される予定で、価格は、同社のプレミアライセンスと同じ1ユーザーあたり年間50ドルである。 「Google Apps for Government」に含まれるアプリケーションはすべて、他のバージョンと同じものだが、セキュリティのレベルが高くなっており、連邦情報セキュリティマネジメント法(FISMA:Federal Information Security Management Act.)が定める要件を満たしているとGoogleは述べている

    グーグル、「Google Apps」の政府向けバージョンを提供
  • PC

    夏休みスペシャル 2024 iPhoneで3Dモデルを手軽に作成、無料の純正アプリ「Reality Composer」を試す 2024.08.09

    PC
  • ASP.NET でソース管理システムへの NuGet パッケージのコミットを不要とする - THE TRUTH IS OUT THERE - Site Home - MSDN Blogs

    In Visual Studio 2022 17.10 Preview 2, we’ve introduced some UX updates and usability improvements to the Connection Manager. With these updates we provide a more seamless experience when connecting to remote systems and/or debugging failed connections. Please install the latest Preview to try it out. Read on to learn what the Connection ...

    ASP.NET でソース管理システムへの NuGet パッケージのコミットを不要とする - THE TRUTH IS OUT THERE - Site Home - MSDN Blogs
    WINGS
    WINGS 2010/07/08
  • クラウドコンピューティングの心理的課題

    利点のみがクローズアップされがちなクラウド、企業が安心して使うには? クラウド利用のリスクと課題を2回に分けて解説する(編集部) この1年ほどですっかりと定着したキーワード、“クラウド”であるが、多くのクラウド事業者から各種のサービスが提供されている。さらに、類似のサービスでは低価格化の傾向がうかがい知れる状況となっている。 そのような中、クラウドサービスの利用を考えている企業の中には、セキュリティ面の懸念から利用を躊躇し動向を伺っているケースもある。セキュリティに対する課題やリスクを考察する。 クラウドコンピューティングを取り巻く環境 海外(主としてアメリカ)に引き続き、日国内メーカーからクラウド製品やソリューションなどのクラウドサービスが矢継ぎ早にリリースされている。メール配信ニュースの新着メッセージやIT系サイトの記事で、“クラウド”というキーワードを目にしない日はないほどであり、

    クラウドコンピューティングの心理的課題
  • kses - PHP HTML/XHTML filter

    kses is an HTML/XHTML filter written in PHP. It removes all unwanted HTML elements and attributes, and it also does several checks on attribute values. kses can be used to avoid Cross-Site Scripting (XSS). NOTE: I don't have time for kses right now..

  • はてなブログ | 無料ブログを作成しよう

    諏訪之瀬島(鹿児島県鹿児島郡十島村)2024.8 はじめに 1日目 中心部・ナベダオエリア 元浦エリア 2日目 元浦エリア・中心部 切石エリア 3日目 はじめに 前回の「フェリーとしま2乗船記」にも書きましたが、諏訪之瀬島に行ってきました。今回は、その諏訪之瀬島の記事です。 kakoyuu.hatenablog.com 諏訪之瀬島は…

    はてなブログ | 無料ブログを作成しよう
  • 狙われるWebアプリケーション---目次

    はびこる「インジェクション系」のぜい弱性 Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。しかし実際には,これらのぜい弱性を持った危険なWebサイトは依然として存在するのが実情である。そこで稿では,正しい対策の方法を解説する。 対策遅らせるHTMLエンコーディングの「神話」 クロスサイト・スクリプティング,SQLインジェクション,OSコマンド・インジェクション--。Webアプリケーションに潜む様々なぜい弱性が指摘され,活発に議論されるようになってきた。しかしWebサイトの実態を見ると,必ずしも対策は進んでいない。多くの場合,原因は「正しい対処方法を知らない」こと。そこで編では,Webアプリケーションの代表的なぜい弱性の共通原理と対策について解説する。今回はクロスサイト・スクリプティングのぜい弱

    狙われるWebアプリケーション---目次
  • ASP.NET の組み込み機能を活用し、Web 攻撃を回避する

    Table 1. Common Web attacks What are the key facts that emerge from the list? At least the following three, I'd say: Whenever you insert any sort of user input into the browser's markup, you potentially expose yourself to a code injection attack (any variations of SQL injection and XSS). Database access must be accomplished securely, that is, using the least set of permissions ever possible for ac

    ASP.NET の組み込み機能を活用し、Web 攻撃を回避する
  • 【お知らせ】Azureセキュリティホワイトペーパーの日本語化、だん。:Azureの鼓動:オルタナティブ・ブログ

    3週間ほど前にこのブログでお知らせしたAzureのセキュリティホワイトペーパー 「Security Best Practices for Developing Windows Azure Applications」(もちろん英語)の 日語訳が完了したのでここにお知らせしておきたい。 今回の日語訳については、セキュリティということで、認証系に強いエバンジェリスト である安納も協力を仰ぎつつ、単に日語にするという作業に加え、技術的に正しく伝わる ことを妥協せず、できるだけ速い公開を目指してきた。 ダウンロードはコチラから。 こういうホワイトペーパーが欲しい、とか、このドキュメントを翻訳して欲しいなど、 ドキュメント整備においてもみなさまからのご要望あればお寄せいただきたい。

    【お知らせ】Azureセキュリティホワイトペーパーの日本語化、だん。:Azureの鼓動:オルタナティブ・ブログ
  • 1