HTML5は安全か? 開発者が留意すべきセキュリティ問題
脆弱性の多いFlashの代替として注目を集めるHTML5だが、HTML5にもセキュリティをめぐる幾つかの問題がある。 米Appleと米Adobe Systemsとの間の論戦は、HTML5の運命をめぐってさまざまな憶測を呼び起こした。HTML5はまだ開発途上にあるが、1つだけ確実に言えるのは、HTML5を採用する開発者は、アプリケーションセキュリティ開発ライフサイクルの一部として同標準の新たな機能セットを考慮に入れる必要があるということだ。 では、HTML5はセキュリティにどういった影響を及ぼし、脆弱部分をどうカバーすべきなのだろうか。米eWEEKでは、HTML5のセキュリティをめぐる幾つかの重要な問題について専門家に話を聞いた。 クライアントサイドのセキュリティ 「従来版のHTMLでは、Webサイトはローカル情報としてcookieしか保存できない。しかもこれらは比較的小さなデータであり、シ
米下院のプライバシー法案、個人情報収集での承認取得を義務付け
米下院議員Rick Boucher氏(バージニア州選出)とCliff Stearns氏(フロリダ州選出)は米国時間2010年5月4日、オンラインとオフラインにおける個人情報の取り扱いに関するプライバシー法の草案を発表した。法案が可決した場合、米連邦取引委員会(FTC)が導入と施行の権限を持つことになる。 同草案では、個人情報を収集する企業に対し、プライバシーポリシーを明示して、どのように情報を収集し、それを使用するかを説明することを義務付けている。法案の対象となる個人の重要情報としては、氏名や性別、電話番号、住所、医療データ、銀行口座、社会保障番号のほか、個人や個々のデバイスを特定するIPアドレスも含まれる。 また、オンライン広告などのサードパーティーとの情報共有についても、ユーザーの承認を得るか、オプトアウト(承認拒否)手段などを提供するリンクを付けることを要請している。 ただし、Web
webのログイン管理的なもの (#1744334) | メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。 専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。 ベーシック認証、クライアント証明は考慮外です。 step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる step1: パスワード送信をPOSTにしてPOSTのみ受け付ける step2: ログイン画面以外は、パスワードを利用せずにcookieを使う step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う step4: cookieにはsecureフラグを立てる step5: cookieには基本的にセッションIDのみを保存する step6: セッションIDをjsessionidやphpsessionidなどでURIに含めない。受け付
CSS による履歴の漏えいを防ぐ取り組み « Mozilla Developer Street (modest)
これは、Mozilla Security Blog の記事 Plugging the CSS History Leak (英文) の抄訳です。Web 開発者の方は Mozilla Hacks の記事抄訳 CSS の :visited に行われるプライバシー対策 も参照してください。 プライバシーの保護は必ずしも簡単なことではありません Mozilla では近く、以前からブラウザ各社が取り組んでいる個人情報漏えい問題の対策を Firefox の開発ツリーに追加します。私たちはこの改善を非常に楽しみにしており、他のブラウザも後に続いてくれることを期待しています。しかし、これは解決が難しい問題であるため、Mozilla がなぜこのようなアプローチを取ることにしたのか説明しておきたいと思います。 履歴の取得 Web ページ上のリンクは、ユーザがそのリンク先を訪れたことがあるかどうかによって見た目が
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
