【レポート】ソースコードのオンラインセキュリティ監査--The Java Open Review Project | エンタープライズ | マイコミジャーナル
Fortify Softwareは、オープンソースのJavaプロジェクトのセキュリティなどを調査するプロジェクト「The Java Open Review Project」を提供している。Fortifyは、ソースコードのセキュリティを監査するソフトウェアを提供している。 The Java Open Review Project(以降、JORP)は、Javaが使用されているオープンソースソフトウェアを調査、脆弱性やバグを報告するプロジェクト。JORPではFortify Source Code Analysis(SCA)およびFindBugsを活用してソースコードを調査、さらに委任された監査人によってコードが検討され、最終的にプロジェクトメンテナに対して結果が公表される。 調査結果はWebブラウザからチェックすることができる。今のところサポートされているブラウザはFirefox 1.5/2.0
T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
【レビュー】Webサービスのニューフェース"PassPack" - 複数パスワードの管理ならおまかせを! (1) 使いやすくて安全なパスワード管理術なんて実在するの? (MYCOMジャーナル)
PassPackとは 各種SaaSで使っているサインイン/ログインアカウント、電子メールアカウント、各種IMアカウント、オンラインメールアカウント、フォーラム/チャットアカウント、アプリケーションで使っているアカウント、システムへのログインアカウントなど、サービスのWeb化が進むに従って管理しなければならないパスワードは増える一方だ。会社のPCから、出先のノートPCから、自宅のデスクノートからそれぞれアクセスするとなると、アカウント情報を記載したファイルを共有する必要があるが、どんな方法でコピーするにしてもあまり安全とはいえないし、なにせ面倒くさい。 図1 PassPack – オンラインでパスワードを管理を実施するためのWebサービス 図2 Webブラウザにおけるアクセスは基本的にHTTPSを経由して実施されている そこでオンラインで各種パスワード情報を管理しようという発想が出てくるのは
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
