誤検知の対応について
kawakami様 日頃は、弊社製品をご利用いただきありがとうございます。 まず最初に、ご迷惑をおかけして大変申し訳ございません。 さて、件のSONARですが、プログラムの疑わしいふるまいを見て脅威の可能性を分類します。脅威の可能性が高いと判断すると自動的に削除し、低いと判断すると通知するわけです。 つまり、御社の開発したアプリケーションが脅威の可能性が高いと判定されて自動的に削除されているという状況ですね。 最近のアプリケーションは、さまざまな通信を行いますので判断が難しくなっているの想像できます。 デジタル署名の付与による効果についてはサポートにお問い合わせ済みのようので、正式な回答をお待ちいただけますか? ちなみに、私が以前開発グループに確認したところ、デジタル署名が付与されていれば削除されることは無いとの回答を得ていますので、同様の解答が届くと思われます。 同時に、サポートのメール
Heartbleed - OpenSSL 脆弱性について | シマンテック
Heartbleed: OpenSSL 脆弱性に関するシマンテックからのお知らせ 新しい情報が入手でき次第、逐次このページを更新いたしますので、定期的にご確認ください。 2014 年 6 月 5 日 (太平洋夏時間 6:00): 6月5日、OpenSSLのセキュリティチームは7つの新しい脆弱性に関して、セキュリティアドバイザリと修正パッチをリリースしました。この中の1つはCriticalな脆弱性(CVE-2014-0224)であり、攻撃者にクライアントとサーバ間のトラフィックの暗号を解読され、マン・イン・ザ・ミドル攻撃(MITM)を行われる恐れがあります。この脆弱性(CVE-2014-0224)はHeartbleedの脆弱性に似ていると思われるかもしれませんが、攻撃者がクライアントとサーバ間に侵入する必要があるため、Heartbleedに比べて容易ではありません。詳細な情報については、シマ
Windowsで使うポートとセキュリティの落とし穴
○ 以上のように、ほとんどのWindowsでデフォルトでオープンしているのは、135と137,138,139,445の5種類のポートである。以下にこれらのポートの役割を整理してみる。これを把握すれば、ポートを開けておくことでどのような危険があるのかが推測でき、対策を立てやすくなるだろう。 危険なポート135 危険だと言われながらも用途がわかりにくく、脅威を実感しにくいポートの代表が135番だ。しかし2002年7月に、その危険性を実証するようなツールが登場した。「IE’en(アイーン)」だ。 IE'enはInternet Explorer(IE)を遠隔操作するツールである。ネットワークでつながった他のパソコン上で起動しているIEから情報を取得したり、そのIE自体を操作できる。具体的には ◆起動しているIEのウィンドウの一覧 ◆各ウィンドウが表示するWebサイトのURLやCoo
パスワード定期変更云々 - pochi-pの絵日記
「定期的にパスワードを変更」すべきか否か、セキュリティの話でたびたび繰り返されるテーマです。 だいたいの話は徳丸浩さんが昨年書かれたエントリで完結してると思います。 (私も定期的に変更するのはあまり意味が無いと思ってます) ところで、↑のエントリのコメントの一つを、高木浩光さんがブックマークしてました。 「総当りで試し終わる前にパスワードが変わってしまうことになります」< これが(私の待ち望んでいた)典型的誤解。パスワード変更しても突破確率はたいして変わらない。これが直感でわからない人達がいるのが原因。 http://b.hatena.ne.jp/HiromitsuTakagi/20090806#bookmark-15186383 一応直感で分かってる(つもり)のpochi-pですが、(自分が)間違ってる可能性もあるので一度きっちり検証してみたいと思います。 そんな訳で、夏休みの自由研究は
高木浩光@自宅の日記 - サイボウズOfficeも匙を投げた「簡単ログイン」
■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
So-net セキュリティ通信