いしなお! - 徳保さんのはてなXSS関連の認識の間違い
_ 徳保さんのはてなXSS関連の認識の間違い あるいは「ブログサービスの XSS 脆弱性対策はいらない その3」。 徳保さんはセキュリティ関係の知識が足りていないんで、きちんと勉強するまではXSSなどのセキュリティ関係の用語を使わないで語った方がいい。というか誤解を広げめられると迷惑だ。 「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしている はてなはCookieによるユーザー認証を利用しており、ユーザーに自由なJavaScriptを許すと、認証情報の盗難・悪用が可能になるから、ユーザーのJavaScript利用を禁止している。それは「安心感を売り物にしている」というレベルではなく、ユーザー認証を利用したサービスを提供しているサービス提供者の最低限の義
注目の情報管理方式「しきい値秘密分散法」
基礎技術解説:秘密分散法 注目の情報管理方式「しきい値秘密分散法」 岩本 琢哉 (Takuya Iwamoto) 株式会社シーフォーテクノロジー 2004/11/27 情報資産を安全に管理するための1つの手段として、データを「暗号化」するという方法があります。これには鍵を持たない(知らない)者は、暗号化されたデータにアクセスできないというメリットがありますが、ISMS(情報セキュリティマネジメントシステム)の可用性の立場から考えると、それがデメリットとなることもあります。 「もし、急に必要になったデータの管理者が休暇中だったら……」。 本稿では暗号化とリスク分散という観点から、最近注目されている情報の管理方式 「しきい値秘密分散法」 をご紹介します。 秘密分散が従来の暗号とはどう違うのかを明確にするため、先に「暗号」について簡単におさらいすることにします。暗号とは、あるデータを 当事者しか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
