Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
世界初、将来も情報漏えいの危険のない分散ストレージシステムの実証に成功 東京工業大学
世界初、将来も情報漏えいの危険のない分散ストレージシステムの実証に成功 東京工業大学 大学ジャーナルオンライン編集部 東京工業大学工学院情報通信系の尾形わかは教授は、国立研究開発法人情報通信研究機構と共同で、ユーザー認証・情報伝送・保存の3つのプロセスのすべてに情報理論的安全性が担保される「分散ストレージシステム」の実証実験に世界で初めて成功した。 これにより、ユーザ認証・情報伝送・保存のプロセスにおいて、長期にわたり情報漏えいの危険のない、情報理論的に安全な分散システムの実証に世界で初めて成功したという。 この研究の背景には、元NSA・CIA職員のスノーデン氏によるリーク情報で知られたように、インターネットで使用されている暗号の一部は、既に破られている可能性があるという現状があり、国家安全保障情報などがインターネットを行き来し保管される時代において、長期にわたり安全性を保証できる分散スト
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
第23回プログラミング講座「暗号方式」 : IT速報
1: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:51:59.16 ID:eFoRVj/r0.net みなさん、こんばんは 第23回となる今回は「暗号方式」について勉強していきましょう 2: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:52:18.70 ID:qNE86U7G0.net 待ってました! 3: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:52:55.61 ID:sTuQb+HO0.net 暗号方式ってなに? 5: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:53:43.92 ID:WyuU5XDW0.net 2chでいうトリップが暗号方式だよ 4: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:53:30.47
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
