HASHコンサルティング徳丸浩の日記 - 発注者のためのWebアプリケーションセキュリティ入門(1) - 安全なWebアプリケーションのために発注者がなすべきこと
■安全なWebアプリケーションのために発注者がなすべきこと このブログでの連載開始にあたり、Webアプリケーションを発注する立場でのセキュリティに対する責任や、なすべきことを説明したいと思います。 Webアプリケーション発注者に脆弱性に対する責任はあるか そもそも非常に基本的な前提として、Webアプリケーションの脆弱性(SQLインジェクションなど)に対する最終的な責任は誰(どの会社)にあるかを考えてみます。具体的には、インターネット上のWebサイトを運営している、あるいはWebアプリケーションョンをパッケージソフトウェアとして市販しているが、開発は外部の開発会社に委託しているケースで、セキュリティ事故などが発生してお客様(Webサイトのユーザ、パッケージソフトの購入者)に迷惑を掛けた場合、その責任は誰にあるかということです。 結論から言えば、この責任はWebアプリケーションの発注者にあり
私の学校裏サイト記事を茶化した(disった)「はてなブロガー有村さん」の記事にコメントしてみた:けんじろう と コラボろう!:オルタナティブ・ブログ
「はてなブロガー」と「はてブコメント」を書いていた人たちと、とても良いコミュニケーションが出来たので紹介しておきたい。 「学校裏サイトで娘が実名で攻撃され、父としてメールを送ってみた」からの3つの投稿を終わって、はてなブックマーク一覧を見ていると、「学校裏サイトのいじめ解決が実はマッチョの成功体験、、」というブログ記事を見かけた。 そして、そのブログ記事には150以上のはてなブックマーク(はてブ)がついていた。 <ブロガーの人となりを確認してみる> ブログは、記事を見るとある程度、人間性がわかると思い、いくつかの記事を覗いてみた。 実際に見てみると、 猛烈に長い文章を短時間で書く能力があり、 複雑なものを体系的に整理でき、 かつ、絵が上手な アニメオタクである ことがわかった。 以下のリンク先のページの最初と記事の合間にある絵は、本人が書いたものである。 周りを少し気にしてから、一気に各ペ
60km/h制限道路を「時速880km」で走行した男に罰金…監視カメラの故障を訴えるも認められず : 痛いニュース(ノ∀`)
60km/h制限道路を「時速880km」で走行した男に罰金…監視カメラの故障を訴えるも認められず 1 名前: キナガニオトス(愛知県) 投稿日:2008/06/18(水) 00:27:26.55 ID:hoJmn5mi0 ?PLT 新華社リオデジャネイロ(ブラジル):ブラジルの首都ブラジリアのあるドライバーが先ごろ、自分が時速880キロという世界最高時速で車を運転していたことを告げられた。しかしこのドライバー、せっかく「世界最速の男」になったにも関わらず、あまり嬉しくないという。 この男性の名はラファエル。職業はエンジニアだ。 彼は交通局の年に1度の自動車保有税を支払いに行ったとき、 速度超過の罰金を払うよう言われた。監視カメラに、ラファエルさんの運転する車が、 時速60キロの道路を時速880キロで走り抜けているのが記録されていたからだ。 もしそれが本当なら、彼は飛行機と同じ速さで道路を走
【mixi】気が付けば犯罪自慢から犯罪の温床へ
もはや当たり前になりすぎて話題にもなりにくくなってきたmixi。カモになりやすいユーザ(言葉は悪いが、事実だから仕方が無い)が多い現状では、犯罪の温床になるのも時間の問題…と思っていたら、どうやら大規模な詐欺グループの侵攻にあっているようです… ちょっと前は、犯罪自慢劇場でしたね mixiといえば、少し前は「オレ悪いだろ」的な頭の悪いユーザが犯罪自慢をする場でした。飲酒運転、万引き、迷惑行為、カンニングetc…とにかく多種多様な小犯罪が日記に公開されたものです。 そんな現場も見飽きた今日この頃、mixiに新たな問題が発生しているようです。それは…大規模な一斉詐欺行為です。 手口が巧妙。共通した特徴。 mixi内の詐欺では、主に チケット 中古バイク 高価な楽器 金品 などがエサのために利用されているようです。mixi内で詐欺行為をウォッチしているユーザによれば、これら詐欺には IDが大きい
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
Power User's Guide to Firefox 3
You already know about Firefox 3's marquee new features, but now it's time to dig deep and unearth the shortcuts, tweaks, and even Easter eggs that Mozilla marketing doesn't mention. In honor of today's official release of Firefox 3—at 10AM Pacific Time—let's dive in past Firefox 3's most talked-about feature-set into its lesser-known power uses, tricks, and customizations. Shrink the Super-sized
Firefox lzyc build
Firefox 3.0.1 + Bug 357670/438744 Patch English (+ Japanese) G4 Processor (7450) (PowerMac G4 / iMac G4 / PowerBook G4 / iBook G4 / etc) G5 Processor (PowerMac G5 / iMac G5) Intel Processor (x86) (Intel Mac) 引き続き、Flashのテキストフィールドに日本語が入力できない問題のパッチを当てています。 Bug 357670 – IME doesn’t work on the text field of flash with Cocoa build. すでにFirefox3を使用している場合には関係ないと思いますが、下記のパッチも当ててみました。 Bug 438744 – Fol
大学が学術雑誌買えない : ニュース : 教育 : YOMIURI ONLINE(読売新聞)
値上がり、予算減で 研究に影響懸念 学術雑誌の価格が高騰して、大学が購入を取りやめる事態も起きている。 「大学や独立行政法人が悲鳴を上げている。重要な情報源が維持できない」。4月10日の総合科学技術会議で、金沢一郎・日本学術会議会長は福田首相に窮状を訴えた。 山口大の図書館は昨年末、雑誌を扱う出版社シュプリンガーとの購読契約を打ち切った。千数百万円の経費削減となったが、約1300の電子雑誌が読めなくなり、研究者の個人購読に切り替えた。理系、文系を問わず、過去の成果や最新の動向を知ることは研究の第一歩。学術雑誌が読めなくなれば、その基盤が損なわれかねない。丸本卓哉学長は「買いたくても買えない。研究の根幹にかかわる」と危機感を募らせる。 他大学も、共同で複数の雑誌を割安な価格で一括購読したり、独自に蓄積した論文をホームページで無料公開したりするなどの対策を取る。しかし、研究費や論文の数が増える
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プログラミングに最適な椅子は? | スラド デベロッパー
Engadget | Technology News & Reviews
http://asl.rubyforge.org/