HTML5は安全か? 開発者が留意すべきセキュリティ問題
脆弱性の多いFlashの代替として注目を集めるHTML5だが、HTML5にもセキュリティをめぐる幾つかの問題がある。 米Appleと米Adobe Systemsとの間の論戦は、HTML5の運命をめぐってさまざまな憶測を呼び起こした。HTML5はまだ開発途上にあるが、1つだけ確実に言えるのは、HTML5を採用する開発者は、アプリケーションセキュリティ開発ライフサイクルの一部として同標準の新たな機能セットを考慮に入れる必要があるということだ。 では、HTML5はセキュリティにどういった影響を及ぼし、脆弱部分をどうカバーすべきなのだろうか。米eWEEKでは、HTML5のセキュリティをめぐる幾つかの重要な問題について専門家に話を聞いた。 クライアントサイドのセキュリティ 「従来版のHTMLでは、Webサイトはローカル情報としてcookieしか保存できない。しかもこれらは比較的小さなデータであり、シ
webのログイン管理的なもの (#1744334) | メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。 専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。 ベーシック認証、クライアント証明は考慮外です。 step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる step1: パスワード送信をPOSTにしてPOSTのみ受け付ける step2: ログイン画面以外は、パスワードを利用せずにcookieを使う step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う step4: cookieにはsecureフラグを立てる step5: cookieには基本的にセッションIDのみを保存する step6: セッションIDをjsessionidやphpsessionidなどでURIに含めない。受け付
CSS による履歴の漏えいを防ぐ取り組み « Mozilla Developer Street (modest)
これは、Mozilla Security Blog の記事 Plugging the CSS History Leak (英文) の抄訳です。Web 開発者の方は Mozilla Hacks の記事抄訳 CSS の :visited に行われるプライバシー対策 も参照してください。 プライバシーの保護は必ずしも簡単なことではありません Mozilla では近く、以前からブラウザ各社が取り組んでいる個人情報漏えい問題の対策を Firefox の開発ツリーに追加します。私たちはこの改善を非常に楽しみにしており、他のブラウザも後に続いてくれることを期待しています。しかし、これは解決が難しい問題であるため、Mozilla がなぜこのようなアプローチを取ることにしたのか説明しておきたいと思います。 履歴の取得 Web ページ上のリンクは、ユーザがそのリンク先を訪れたことがあるかどうかによって見た目が
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
「ハトミミ.com」のURL、「hatomimi.go.jp」になる | スラド
ストーリー by hylom 2010年01月04日 13時04分 「.com」はドメインじゃありません! 部門より 昨年11月30日に行政刷新会議が発表した「ハトミミ.com」計画だが、初動の不手際により暗礁に乗り上げていることが明らかになってきた。12月29日の共同通信の記事によると、「ハトミミ.com」の名称とロゴを発表した後に、担当者が「ハトミミ.com」ドメインを取得しようとしたところ、既に他の誰かに登録されていたという(ハトミミ.com/)。 また、政府は情報セキュリティ対策基準として「.go.jp」ドメインを使うことを定めており、これに反するドメインは「誤解を招く」として、発表直後に内閣官房情報セキュリティセンターが警告していたそうだ。行政刷新会議の11月30日の資料には、「ハトミミ.com(または.jp)」と書かれており、ドメイン名を決定する前に発表してしまった様子がうかが
サーバ管理者日誌 2009年12月01日
その名も「ハトミミ.com」…HPで行政の内部告発受け付け[http://www.yomiuri.co.jp/net/news/20091201-OYT8T00337.htm] というニュースを見た。 どうして、こんなにセキュリティ意識もセンスも感じられない名称を付けるのか。 不正や行政内部の密約など不透明な取り決めの“内部告発”を受け付けるホームページ「ハトミミ.com」の新設を決めた。 (中略) サイトの名称は鳩山首相の名前にちなむもので、来年1月からは一般国民からも、ムダ根絶につながる提案を募る。 内部告発や一般国民からの提案を受け付けるサイトであるから、機微情報を扱うサイトであることは間違いなかろう。そういうサイトを立ち上げるに当たって、第一にウケを、さらに首相個人の売名を狙ったネーミングをするところに底の浅さを感じる。 本論とは関係ないが、なんとなく監視国家を暗示する絵に見えて仕
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
パスワード・ジェネレータ
ランダムなパスワードを生成するパスワード・ジェネレータです。パスワードを単語の組み合わせなどにすると、セキュリティ上リスクを負うこととなります。セキュリティを確保するためには、完全にランダムな文字からパスワードを作成したほうがよいわけで、そのようなパスワードを生成するのがこのジェネレータというわけです。 Windows用のexeファイルでプログラムを作るまでもないと思ったので、JavaScriptで作成してみました。利用にはW3C準拠のDOMとJavaScriptを実装したブラウザが必要です。サーバーとの通信は行なわずブラウザ側で生成しています。 文字 記号の使用を許可する すべて大文字にする すべて小文字にする ※大文字と小文字両方にチェックを付けると小文字で処理します。 MicrosoftのWebサイトには、パスワードの強度をチェックしてくれる「パスワード チェッカー」があります。必要
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
