【今さら聞けない】誰でもわかる PCI DSSの要件と対応方法 | ナレッジ/事例 TISプラットフォームサービス | 特集・レポート | ITソリューションのTIS株式会社
2020年東京オリンピックまでに、「安全なクレジットカード利用」を目標としたガイドラインが経済産業省から示されました。これにより近年さらに注目されているクレジットカード情報保護のためのセキュリティ基準「PCI DSS」。それはどのような内容で準拠するために必要な対応とは何か? 具体的な要件や対応方法について解説します。 1.PCI DSSとはどのようなものか? PCI DSS策定の背景 PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。現在はその5社が共同設立した組織である
Google、Chromeのシークレットモードでアクセスする全ての非HTTPSページに「保護されていない通信」ラベルを。今年10月から
[レベル: 中級] Google は、Chrome ユーザーのプライバシー保護をより一層強化することにしました。 次のどちらかの条件に当てはまるページに Chrome でアクセスした場合、URL 欄に「保護されていない通信」のラベルが付きます。 データを入力する HTTP ページ シークレットモードでアクセスする すべての HTTP ページ パスワードとクレジットカード情報だけじゃない 1月にリリースされた Chrome 56 から、パスワードまたはクレジットカード情報を HTTP 通信で送信するページ、言い換えると HTTPS ではない通信でそれらの情報を送信するページには、URL 欄に「保護されていない通信」というラベルが表示されるようになりました。 この仕様を Google はさらに一歩推し進めます。 情報を入力する すべての HTTP ページ パスワードとクレジットカード情報に限ら
HTTPでフォーム送信するサイトにGoogleが警告を一斉送信、Chrome62から実装するセキュリティ警告に備えてHTTPS移行を促す
[レベル: 中級] 非 HTTPS (HTTP) のページでテキストをフォーム送信する要素を持つサイトを対象に、Google は先週末いっせいに警告メールを送信しました。 Chrome 62 から実装予定のセキュリティ警告 次のメールが Search Console 経由で届きます。 Chrome のセキュリティ警告を http://example.com に表示します http://example.com の所有者様 2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。 貴サイトでは、たとえば以下に示す URL に、Chrome の新し
電車に乗ると隣の人の実名がiPhoneに表示される - 非天マザー by B-CHAN
iPhoneの危険な機能 日本では断トツ人気のスマートフォン、それがiPhoneです。 普通に日常生活をしていてiPhoneを一度も見ない日はありません。 それくらい普及しているiPhone。 今日はそのiPhoneの危険な話をします。 電車に乗ってください。 空いている電車では無く、混んでいる電車が良いでしょう。 あるいは、混雑した建物に入っても良いです。 そうしたら、iPhoneのホーム画面の一番下から上に向かって指をスワイプします。 すると、次のようなコントロールセンターと呼ばれるパネルが登場します。 上の画像のように、Wi-FiボタンとBluetoothボタンを押してオン(青い状態)にしましょう。 で、次に、AirDropボタンを押して、「全員」にします。 これで準備完了。 あとは、Safariを起動して、テキトーにウェブサイトを見てください。 そして、画面の中央下にある共有ボタン
Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない | 【レポート】Web担当者Forumミーティング 2015 Autumn
「Web担当者Forum ミーティング2015 秋」において、合同会社シマンテック・ウェブサイトセキュリティ中川 就介氏が、「Webサイト全体HTTPS化(常時SSL)の効果と実装のポイントと題してわかりやすく解説した。 すでに始まっている常時SSL化への流れ常時SSLという言葉をご存じだろうか。一般的なWebサイトでは、利用者が情報を入力するページだけはHTTPSで、トップページやログイン後のページはHTTPというケースが多い。それを、全ページHTTPS化するということだ。 銀行やECサイトではないのにそこまでする必要があるのかと思われるかもしれない。しかし、銀行やECはセキュリティ対策が進んでいるため、今は対策が進んでいないWebサイトこそがサイバー攻撃の狙い目になっている。また、クレジットカード番号やパスワードを入力させていないとしても、昨今はメールアドレス、嗜好性、cookieも保
クロスサイトスクリプティング対策 ホンキのキホン
OWASP Top 10 はじめに OWASPでは、開発者に向けたセキュリティ対策のためのドキュメントやチートシートを多数用意しており、XSSへの対策としても「XSS (Cross Site Scripting) Prevention Cheat Sheet」というドキュメントが用意されています。 ただし、このXSS Prevention Cheat Sheetはシンプルなルールを定めたチートシートであるとうたいつつも、開発者が直面するあらゆる場面で包括的に適用できる抜けのないものを目指しているために、多岐にわたる条件のもとでの詳細なルールが定められており、残念ながら決して誰しもが簡単にすぐ適用できるものではないというのが現状です。 そこで、本稿では、より一般的で頻繁に遭遇する共通的な状況下に限定することで、XSSへの対策方法を簡潔に説明したいと思います。 本稿では物足りない方、本稿だけで
Vaultで機密情報を管理する | DevelopersIO
Vaultとは 最近のアプリでは、データベースやAWS等、必ずといっていいほど外部システムとの連携があります。 その際に必要になるのが、パスワードやキー情報などの機密情報です。 そういった機密情報の管理は、特に注意しなければいけません。 例えば、大事なAWSキー情報やパスワードを、プログラム中やプロパティファイルに記述して、 それをGithubのようなリポジトリにpushしてしまったら、大変なことになってしまいます。 そういったミスをしないよう、安全に機密情報を管理するためのツールが、今回紹介するVaultです。 Vaultとは機密情報を管理するためのツールであり、クライアント/サーバ形式で動きます。 Vaultを使用するには、まずサーバを起動し、そこに対して機密情報を登録します。 その後、コマンドラインやHTTPでアクセスすることで、登録した情報を取得することができます。 Vaultの特
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
BASIC認証とIPアドレス制限の併用 - Ceekz Logs (Move to y.ceek.jp)
先日公開した、主専攻振り分けの途中経過は、学内からアクセスする場合は、そのまま閲覧でき、学外からアクセスする場合は、BASIC認証が必要になるように設定しています。 特定のIPアドレスは通して、それ以外は、認証が必要。というページの作成は、結構需要があるような気がします。代表的なのは、自分のマシンは認証無しで、他の人が見る場合は、認証が必要とするということが挙げられます。 .htaccess で設定するわけですが、やり方を良く忘れてしまうので、メモしておくことに。 AuthType Basic AuthDBUserFile /etc/webpass.coins AuthName "Please input your coins's Account & Password" Require valid-user Satisfy Any Order Allow,Deny Allow from 1
bashの脆弱性(Shellshock)に関するご注意
美雲このはとは? 座敷童子一族の末裔として生まれ、栃木の由緒正しい某神社で暮らしていたんだけど、昔からのしきたりで一人前の座敷童子になるため東京で修行を開始! 紆余曲折あって、ConoHaの応援団長に就任することになりConoHaを使っているみんなを応援するとともに、このはも一人前の座敷童子ではなく、「神様」になるために日々頑張っているよ! プロフィール 名前:美雲 このは (みくも このは) 年齢:年齢という概念はないが、人間でいうと13歳くらい? 身長:150cm+α 体重:ひみつ 長所:勉強熱心・わりと機転がきく 短所:いじわると勘違いされる振る舞いをしがち 好きなこと:アニメを見たりゲームしながらのごろごろ
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
Webアプリケーション向けのセキュリティスキャナ「skipfish」を使う | OSDN Magazine
近年では多くの分野でWebアプリケーションが使われるようになり、大量の個人情報や重要な秘密情報を扱うようなアプリケーションも少なくない。そのため、Webアプリケーションも攻撃対象として狙われやすくなっている。今回はWebアプリケーションのセキュリティ対策として、Googleが公開しているセキュリティ調査ツール「skipfish」を使ったセキュリティスキャンを紹介する。 Webアプリケーションに特化したセキュリティ調査ツール「skipfish」 今日では、Webブラウザ経由でさまざまな操作を行えるWebアプリケーションが広く浸透している。Webブラウザは最近のほぼすべてのPCにインストールされており、専用のクライアントを用意せずにアプリケーションを操作できるというのがその浸透の理由の1つだ。しかし、Webアプリケーションでは簡単にその一部(HTMLやJavaScript)のソースコードを閲覧
安全なPHPアプリケーションの作り方2013
PHPカンファレンス2013における徳丸のプレゼン資料です。後から、参考文献などを加筆しました。Read less
IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Web StorageやindexedDBを扱う上でのセキュリティ上の注意点 - 葉っぱ日記
localStorageやsessionStorage、あるいはindexedDBのようなブラウザ上でのデータの保存が可能になったことで、これらを取り扱ううえでもセキュリティ上の注意点が必要である。 これらのストレージは、localStorageやindexedDBは永続的に、sessionStorageはブラウザやタブを閉じるまでの間データが保持され続けるので、例えばWebアプリケーションがログイン機構を持っている場合にログイン中にこれらのストレージに書き込まれたデータは、ログアウト後も当然参照および書き換えが可能である。Webアプリケーション上のアカウントに紐づいたデータをこれらのストレージに書き込んでいる場合、ログアウト後もアクセス可能なことが問題を引き起こす可能性がある。 例えばTwitterのようなサービスがあったとして、(navigator.onLineプロパティなどを利用して
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記
合わせて読んでください:Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
情報処理推進機構:情報セキュリティ:2013年3月の呼びかけ
第13-16-284号 掲載日:2013年 3月 1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2012年4月、スマートフォン(Android OS)アプリの公式マーケットであるGoogle Playから、端末情報や電話帳の中身を外部サーバーに送信するなど、不審な動きをする不正なアプリが多数発見され問題となりました。そのほとんどが「(商標などを含む単語) the Movie」という名称のもので、当時7万回以上ダウンロードされていました。 このたびIPAでは、同じAndroid OS向けの公式マーケットから、50万回以上もダウンロードされていた不正なアプリを発見しました。その不正なアプリには、個人的嗜好をくすぐるようなアイコンやキーワードが含まれていました。この不正なアプリを実行することで、スマートフォン内の位置情報やメールアドレスなどの情報が外部に送信されてしまうこと
CSRFによる冤罪、誤認逮捕か。大阪市ウェブに大量殺人予告での逮捕の件: ホットコーナー
ブログ(iiyu.asablo.jpの検索) ホットコーナー内の検索 でもASAHIネット(asahi-net.or.jp)全体の検索です。 検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。 例 中村(show) ki4s-nkmr ウェブ全体の検索 ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。 --- 橋下徹市長の大阪市のウェブで「大量殺人をする」と投稿したという容疑で、 アニメ演出家が逮捕された件。 たとえば、 http://mainichi.jp/select/news/20120827k0000m040038000c.html 殺人予告:大阪市HPに書き込んだ疑いで42歳演出家逮捕 http://
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
お探しのページはみつかりません - グノシー