Adobeの個人情報流出のお知らせ、なぜかEvernoteから
11月28日、Evernote(エバーノート)のユーザー向けに「Adobe社の個人情報流出問題に関する重要なお知らせ」というメールが配信された。 アドビシステムズが不正アクセスによってユーザーの名前とAdobe ID、暗号化パスワードやクレジットカード番号といった顧客情報が流出したことが判明したのは10月3日。10月末にはネット上で流れる顧客情報を利用し、約3800万人にもおよぶユーザーアカウントに攻撃があったと発表された。 内容は上記のメール文面のとおり。アドビから流出したデータに含まれるメールアドレスに、Evernoteの登録ユーザーが含まれているのを照合して発見、該当ユーザーに対しての注意喚起を行ったもの。Evernoteの顧客情報は流出していないとはいえ、複数のオンラインサービスをひとつのパスワードで済ませてしまうユーザーも多く、顧客への注意喚起としてはかなり珍しい対応と言える。し
【スクリプトインジェクション対策18】ログイン処理を正しく実装する | gihyo.jp
言うまでもなくログイン処理はセキュリティ上最も重要な処理です。しかし、ログイン処理が正しく行われていないサイトも少なくありません。例えば、PayPalのログインページがスクリプトインジェクションに脆弱であったことは有名です。ログインページがスクリプトインジェクションに脆弱であると、簡単にユーザ名とパスワードを盗めてしまいます。PayPalのログインページはHTTPSで保護されていましたが、スクリプトインジェクションに脆弱ではHTTPSは何の役にも立ちません。 ログインページがスクリプトインジェクションに脆弱であるのは論外であるとしても、ログインの実装方法が正しくない場合が少なくありません。ログインに成功した場合、新しいセッションIDを割り当てるべきです。これは、「セッションIDを頻繁に変更する」のエントリでも解説したように、セッションIDの盗聴や固定化などから防御するために行います。 W
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
