タグ

関連タグで絞り込む (8)

タグの絞り込みを解除

セキュリティに関するapiraのブックマーク (15)

  • 資料集

    セキュリティ関連オリジナル資料集 このページでは、私がこれまで講演などで使用した資料を一部公開しています。資料のダウンロードは自由ですが、すべての権利は著者または文書記載の所有者またはその所属企業に帰属します。再配布は権利についての記述を含めて、全体を再配布する場合のみ許可します。また、営利目的の配布はご遠慮ください。なお、この資料の利用によって生じたいかなる事態についても、筆者は一切責任を負いません。これらの条件を承認の上、ダウンロードください。 資料一覧

  • 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた

    「安全なSQLの呼び出し方」というSQLセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月

    今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた

  • 情報処理推進機構:情報セキュリティ:セキュリティAPIに関する技術調査

    報告書は、セキュリティ関連の API を利用するアプリケーション開発者に向けに技術的なガイダンス情報を提供するものである。数多く提供されているセキュリティ API に関する一律的な概要紹介にとどまらず、最新の技術動向を踏まえ、開発に直接役立つ情報を調査整理し、具体例としてサンプルコードを示した。 調査においては、特に以下の 4項目に焦点を当てた。 セキュリティ API のアーキテクチャ 各セキュリティ API に共通する重要な機能 普及しているプラットフォーム上で提供されるセキュリティ API の利用法 近年の技術動向の中で重要性を増している新しいセキュリティ API Part 0. 報告書の構成、セキュリティ API の利用に関する提言 Part 1. セキュリティ API の概要、アーキテクチャ、機能、暗号技術とアルゴリズム Part 2. Java JCE(Java Crypto

  • 高木浩光@自宅の日記 - こんな銀行は嫌だ

    ■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを

  • 高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと

    ■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式

  • Tomcatはどこまで“安全”にできるのか?

    “安全”のためにTomcatを理解し、構築し、動作させる Tomcatはどこまで“安全”にできるのか?(1) そもそもTomcatとは何か、最新版で何が変わったのかを紹介し、環境構築や自動起動の仕方、Apacheとの連携も解説する

  • Internet Week

    Internet Week Basicオンデマンド インターネットに関わるベーシックな内容を、 いつでもどこでも誰でも、 気軽に見られるようビデオで学習できる形式にまとめました。 普段の学習およびInternet Week参加にあたっての予習としてもお使いください。 Internet Week Basicオンデマンド https://www.nic.ad.jp/ja/materials/iw/ondemand/ イベント資料 会議名 開催日/会場 参加者概数 資料

  • 無料で使えるSQLインジェクション対策スキャナ トップ15*ホームページを作る人のネタ帳

    無料で使えるSQLインジェクション対策スキャナ トップ15*ホームページを作る人のネタ帳

  • 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

    「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

    情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

  • CodeZine:JavaのSSLSocketでSSLクライアントとSSLサーバーを実装する(JSSE, セキュリティ, クライアント認証, SSL)

    はじめに 企業間の受発注取引をインターネットを利用して行うB2B(企業間電子商取引)も、ロゼッタネットをはじめとして、ここ数年で導入が活発化してきています。B2Bシステムを構築する際に欠かせないのがセキュリティの確保であり、セキュリティインフラの中心となるのがSSL(Secure Socket Layer)です。記事では、J2SE1.4から標準で用意されたJSSE(Java Secure Socket Extension)のAPIを利用した簡単なSSLサーバー/クライアントの実装例を紹介します。 対象読者 Javaプログラミングを行ったことがある方を対象とします。 必要な環境 サンプルは以下の環境で動作確認を行っています。 J2SE1.4 J2SE5.0 SSLについて SSLは、ネットワークを通じたデータ送信時にデータの機密性および整合性を保護するために設計されたプロ

  • PKI(公開鍵暗号基盤) - @IT

    IT PKI関連ニュース ベリサイン、マネージドPKIサービスをシマンテックブランドに (2012/5/9) 「まず送信側から」、国内送信事業者11社がDKIMへの対応完了 (2011/7/26) dkim.jp、メール送信事業者向けにDKIM導入の推奨手順書を公開 (2011/5/26) スマートフォンに証明書ベースの管理と認証を提供 (2011/3/31) 「複雑すぎるパスワードポリシー」が生み出す問題とは (2011/3/10)

  • [ThinkIT] 第5回:インジェクション攻撃 (1/4)

    今回はWebアプリケーションの脆弱性における4番目のカテゴリー「インジェクション攻撃」について解説する。 ※注意: この記事にはWebアプリケーションの脆弱性を解説する必要上、攻撃手口に関する情報が含まれています。これらの手口を他者が運営するWebサイトに向けて仕掛けると、最悪の場合刑事罰および損害賠償請求の対象となります。脆弱性の調査・検証は、必ずご自身の管理下のコンピュータシステムおよびローカルエリアネットワークで行ってください。この記事を参考にした行為により問題が生じても、筆者およびThinkIT編集局は一切責任を負いません。 インジェクション(injection)とは、内部に何かを注入することを意味する言葉だ。インジェクション攻撃とは、プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口の

  • ウェブセンス、Winnyの起動を止めるツールを無償提供 - セキュリティログ

  • 教訓はなぜ生かされなかったのか:ITpro

    ワコールは2月8日から,約3カ月にわたって閉鎖していたECサイトを再開する。ワコールオンラインショップで不正アクセスによる個人情報漏えい事件が発生したのは2005年11月。5124件の情報の中にはクレジットカード番号が含まれた情報もあり,カード番号を不正使用された顧客の問い合わせにより発覚した。 不正アクセスに使用されたのは,SQL文を外部から送り込む「SQLインジェクション」と呼ばれる手口だ。このSQLインジェクションは,2005年5月に発生したカカクコムやOZmallなどへの不正アクセス事件でも利用されたとされる。 特にカカクコムの事件は全国紙でも報道されるなど,大きな話題になった。にもかかわらず,ワコールの事件は発生した。教訓は生かされなかったのだろうか。 実はワコールの担当者は,システムを開発したNECネクサソリューションズに対し,2005年7月末に問い合わせを行っていたという。「

    教訓はなぜ生かされなかったのか:ITpro

  • 「安全なWebサイトの作り方教えます」---IPAがドキュメントを公開

    情報処理推進機構(IPA)は1月31日,安全なWebサイトを構築および運用するためのポイントをまとめた文書「安全なウェブサイトの作り方」を公開した。同文書には,SQLインジェクションなどに悪用されるセキュリティ・ホール(脆弱性)を作りこまない方法や,サイトの安全性を向上する運用ならびに設定方法などが記されている。 同文書では,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。具体的には,「SQLインジェクション」「OSコマンド・インジェクション」「クロスサイト・スクリプティング」「セッション管理の不備」「ディレクトリ・トラバーサル」「メールの第三者中継」---を取り上げている。 また,「ウェブサイトの安全性向上のための取り組み」と題して,Webサイトの適切な運用方法や設定方法

    「安全なWebサイトの作り方教えます」---IPAがドキュメントを公開
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.