SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
Postfixフィルタリング
はじめに 最近また BadTrans.B等のWindows向け(もう少し書くとOutlook向け)のメーラーを相手としたウィルスが広がっていますが、みなさんは被害を受けてないでしょうか。 これらのウィルスは 開かなけれ感染しない ワクチン系ソフトでなんとかなる などという対処があるのでしょうが、もう少し根本的なところで対処をすべきだと思います。いきなり実行できるファイルを送るな というところです。 このようなファイル添付を拒否することによって、今後も(ウィルス対応メーラーがもう少し真面目に対応されるまでは)ウィルス感染の経路を断つことができると思います。 今回は、Postfixを用いたお手軽なフィルタリングの方法をまとめてみたいと思います。 Postfixにおける内蔵フィルタリング機能を有効にする Postfixには、内蔵のフィルタリング機能が用意されていますが、標準状態では利用できる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
