Androidアプリケーション開発へのルールの適用Androidアプリケーション開発へのルールの適用 CERT Oracle Java セキュアコーディングスタンダードの各ルールを、Androidアプケーション開発においてどの程度考慮すべきであるかを以下の表に示す。評価は A、C の2段階で行う。 A: Androidアプリケーション開発に適用できるルールである。 C: Androidアプリケーション開発には関係のないルールである。 ルール 評価 コメント
Webプログラマ必見。HTML5のセキュリティチートシート·HTML5 Security Cheatsheet MOONGIFT
HTML5 Security CheatsheetはHTML5のセキュリティに関するチートシートです。問題点と対象Webブラウザ、対処法が一覧になっています。 HTML5 Security CheatsheetはHTML5におけるセキュリティホールになりえる問題点をコードを通じて広めていこうというプロジェクトです。Webプログラマ必見と言えるでしょう。 トップページです。様々な項目が並んでいます。 左側は各セキュリティチェックすべき項目で、対象になるWebブラウザとそのバージョンが並んでいます。問題点の提示とともに、その回避策についても書かれていますのでとても参考になります。 まだ日本語化されていない部分もあります。 ほぼ全てのWebブラウザが対象になる部分もあるようです。 項目は非常に多いですが、セキュリティを重視するためにもチェックしておくべきです。 HTML5ではありますがIE6など
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
ASP.NET Security Architecture Cheat Sheet For Very Busy Architects
You are an architect. You are sitting in your fancy office thinking about cloud computing and about the higher ground stuff. Suddenly the phone rings, it's your current project manager. "Quick! Come over here, we have a meeting with security department, they have tons of questions and I do not have a clue what they want from me! Our project must ship on time, we cannot afford postponing it anymore
SQL Injection Prevention - OWASP Cheat Sheet Series
Introduction Index Alphabetical Index ASVS Index MASVS Index Proactive Controls Index Top 10 Cheatsheets SQL Injection Prevention Cheat Sheet¶ Introduction¶ This cheat sheet will help you prevent SQL injection flaws in your applications. It will define what SQL injection is, explain where those flaws occur, and provide four options for defending against SQL injection attacks. SQL Injection attacks
エフセキュアブログ : 2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳)
2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳) 2011年12月13日15:03 ツイート risa_ozaki つぶやき by:尾崎 リサ 遅ればせながら、2011年11月29日にフィンランドの本社が発表したニュース "A Growing and Diverse Device Market Presents New Security Challenges in 2012" を翻訳してみました。(注: 一部超訳してあります) <以下、フィンランド本社発表資料超訳> アナリストの分析によれば、ネットユーザの多くが、PCやモバイル端末などの多様化する機能を統合した "オールインワンデバイス" に移行するだろうと予測しています。しかし、現状は少し異なります。ノートPCやスマートフォン、タブレットなどの新しい端末が登場するたびに、まるで新しいテクノロジを現状の環境に
プレス発表 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド改訂2版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、主催する「脅威と対策研究会」において「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の改訂第2版をまとめ、2011年11月30日(水)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/newattack.html ソフトウェアの脆弱(ぜいじゃく)性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や公的機関をねらい、対応が難しく執拗(しつよう)なサイバー攻撃を、IPA では「新しいタイプの攻撃」と呼んでいます。「新しいタイプの攻撃」は、「攻撃に気付けない」「バックドアが設置される」等の特徴があり、従来のセキュリティ対策では完全な防御が行えなくなっています。国外でこのような「新しいタイプの攻撃」が複数発生したことをうけ、IP
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
Google、GmailやGoogle+のセキュリティを強化 「forward secrecy」を採用
Google、GmailやGoogle+のセキュリティを強化 「forward secrecy」を採用 米Googleは11月22日(現地時間)、SSL接続で提供している各種サービスで「forward secrecy」機能をデフォルトで有効にしたと発表した。Google検索、Gmail、Google Docs、Google+に適用される。 forward secrecy(PFSとも呼ばれる)は公開鍵暗号技術の一種で、暗号化されたコミュニケーションを長期にわたって解読されないようにするためのもの。過去のコンテンツに接続するためには長期の公開鍵とプライベート鍵のセットが必要なため、攻撃者はいずれかの鍵を解読してもコンテンツのデコードができない。通信ピア双方に実装されている必要があり、処理負荷も掛かるため、HTTPS接続を提供するWebサイトの多くはこの機能をサポートしていないという。 Goog
高木浩光@自宅の日記 - 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)
■ 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編) 目次 解釈にブレが生じている条文 立法趣旨の理解についてのブレ バグ以外で問題となるケース 正当なプログラムが他者により悪用されるケース バグの件はどうなったか 不真正不作為犯は成立するのか 結局のところ懸念は払拭されたのか はじめに 法務省から「いわゆるコンピュータ・ウイルスに関する罪について」という解説が出た。その趣旨は、冒頭に書かれているように、参議院法務委員会の付帯決議に対応するためのものとされている。 いわゆるコンピュータ・ウイルスに関する罪について, 法務省, 2011年7月13日 「情報処理の高度過当に対処するための刑事法の一部を改正する法律」には,参議院法務委員会において付帯決議が付されており,同法の施行に当たり政府が特段の配慮をすべき事項として,不正指令電磁的記録に関する罪の構成要件の意義を
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
セキュアなソフトウエア開発を支援する資料 | JPCERT コーディネーションセンター
「Java セキュアコーディング 並行処理編」 「Java セキュアコーディング 並行処理編」(原著 CERT/CC「Java Concurrency Guidelines」)は、カーネギーメロン大学ソフトウエア工学研究所の CERTプログラムと Oracle の共同作業の成果である「CERT Oracle Secure Coding Standard for Java」の中から、次のカテゴリに含まれる並行処理プログラミングに関連したガイドラインをまとめた資料です。 可視性とアトミック性(VNA) ロック(LCK) スレッドAPI(THI) スレッドプール(TPS) スレッドの安全性に関する雑則(TSM) セキュアな Java マルチスレッドプログラミングに取り組む際の手引きとしてご活用ください。 本資料に記述されたガイドラインを含む「CERT Oracle Secure Coding S
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【Googleポリシー統合】オプトアウトアドオンと削除 
HTML5 Security Cheatsheet
html5security - Project Hosting on Google Code
Java 暗号化拡張機能 JDK5.0
[PDF] いわゆるコンピュータ・ウイルスに関する罪について
データベース・セキュリティの実装 第3回 データベースの暗号化とパフォーマンスの両立
United States
Java コーディングスタンダード CERT/Oracle 版