連載記事 「習うより慣れろ! iptablesテンプレート集 改訂版」スタティックなパケットフィルタリング 連載:iptablesテンプレート集 改訂版(1) Linuxカーネルが備える「iptables」を使いこなすのは初心者にとってハードルが高いもの。テンプレートを参照して使い倒しましょう
Sender ID:送信者側の設定作業 ― @IT
送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF(Classic SPF)」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する(図1)。送信側は、「Sender Policy Framework(SPF)
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
CWE -2009 CWE/SANS Top 25 Most Dangerous Programming Errors
Welcome to the 2023 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25). This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working. CWEs are becom
これから始めるWSUS 3.0入門(前編)
連載目次 システム管理者にとって、セキュリティ・ホールを解消するための更新プログラム(セキュリティ・パッチ)をクライアントPCやサーバに適用することは、セキュリティのリスクからシステムを守るために必須の業務といえる。しかし、企業などの組織内にある多数のPCに対して、一律に漏れなくセキュリティ・パッチを適用することは、手間のかかる困難な仕事であることも確かだ。 こうしたパッチ適用の作業を助けるべく、Windows Update/Microsoft Updateなどさまざまなパッチ管理ツールが存在している。特に企業のシステム管理者にとって注目なのは、マイクロソフトから提供されている組織向けパッチ管理ツール「Windows Server Update Services(WSUS)」だろう。WSUSは、Microsoft Updateのローカル・コピー相当のサーバをLANに置いて、システム管理者が
Microsoft Learn: Build skills that open doors in your career
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
OpenLiberty
openLiberty.org has been established to provide easy access to tools and information to jump start the development of more secure and privacy-respecting identity-based applications based on Liberty Alliance standards. To that end, we are focusing our efforts around a series of prioritized projects that will deliver the tools and information we all need to successfully identity-enable our appl
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
Japan Vulnerability Notes
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品
ホワイトハッカー道場:ITpro
組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で
現行の「セキュア・プログラミング講座」:IPA 独立行政法人 情報処理推進機構
「セキュア・プログラミング講座」(旧版)のコンテンツを作成して以来、 4年が経過しました。 セキュリティセンターは、文部科学省からの科学技術振興調整費財源 [1] に基づいて「ソースコード検査技術の脆弱性検出能力向上のための研究」を実施した一環として、取りまとめた内容を「セキュア・プログラミング講座」の改訂版として編集しました。ここに公開します。 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html 前の版は、典型的な脆弱性について紹介し、それらについての対策を説明していましたが、今般の改訂版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました。 これには下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、上流工程(要件定義、設計)から脆弱性対策の論点を意識できるように
OpenID
Our mission is to lead the global community in creating identity standards that are secure, interoperable and privacy-preserving. Founded in 2007, the OpenID Foundation (OIDF) is a global open standards body committed to helping people assert their identity wherever they choose. We are global vibrant community where identity peers and thought leaders convene to craft the identity ecosystems of tom
CSIRT マテリアル - JPCERT Coordination Center
CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。 近年の組織 (企業) の IT 利用の拡大に伴い、情報セキュリティ対策は組織にとって重要な問題となってきています。高度に複雑化し、かつインターネットを介して大容量のデータを瞬時に、しかも容易に世界中とやり取りできる IT システムの利用が一般的になったことで、単に「現場 = システム管理者」の頑張りだけで済む問題ではなくなってきています。例えば、情報システムがコンピューターウイルスに感染してしまったために、顧客の個人情報が世界中にばら撒かれてしまったといった事態を考えてみれば、情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題であることは容易に想像
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
リバースエンジニアリング入門 連載インデックス - @IT -
IBM Developer
教科書に載らないWebアプリケーションセキュリティ - @IT
みずほ情報総研:コモンクライテリアにおけるセキュリティ要求の規定の現状と課題(3/3)
Microsoft Corporation
Acegi SecurityでセキュアなGrailsアプリケーションを作る
