セキュリティだけじゃない、常時SSL/TLS化がもたらすメリットとは
セキュリティだけじゃない、常時SSL/TLS化がもたらすメリットとは:「フォームページのみHTTPS」はもう古い? ブラウザーで「鍵」マークを確認するのは、フォームに個人情報やクレジットカード情報を入力する時だけ……。そんな世界が、新たな標準「HTTP/2」の登場によって変わろうとしている。全てのページでSSL/TLSを利用する「常時SSL/TLS」を採用するWebサービスが増加しているのだ。常時SSL/TLSを導入することで、セキュリティの向上やマーケティング面でのメリットがもたらされる。しかし一方で、Webサイト管理者には、いくつか考えなければならない課題があるのも事実だ。本稿では、それらのメリットと課題を整理してみる。 Webサービスに個人情報を入力して会員登録をするとき、あるいはオンラインショッピングサイトで決済を行うためにクレジットカード番号を入力するとき、皆さんはおそらくWeb
無料でWAFを提供――「さくらの専用サーバ」が導入したセキュリティ強化施策とは?
「過大でもなく過小でもなく、必要十分な性能を適正なコストで提供する」というコンセプトとサービスの品質に加え、ユーザーとの活発なコミュニケーションなども評価されているさくらインターネット。同社は2015年10月20日に、専有型のホスティングサービス「さくらの専用サーバ」をリニューアルした。 さくらの専用サーバは、「クラウドの使い勝手」と「物理サーバーの性能」の両立をうたう専用サーバーサービス。物理サーバーを顧客が専有できる形で提供し、高い性能を安定して提供する。また、申し込みから最短10分程度で利用可能というスピードも特徴となっている。 しかし、さくらインターネットといえば、IaaSサービスの「さくらのクラウド」やVPS(Virtual Private Server)サービスの「さくらのVPS」といったメニューも取りそろえている。さらにIT業界全体を見渡せば、クラウド全盛、仮想化全盛ともいえ
3年程運営していたwordpressのブログがウイルス感染して一瞬で消滅した : 宇佐美典也のブログ
宇佐美典也のブログ 宇佐美典也(うさみのりや)です。1981年、東京都生まれ➡暁星高校➡東京大学経済学部➡経済産業省➡ブロガー・ニート➡再生可能エネルギー業界の端っこ(今ココ)なにかあればinfo@unyconsulting.comまでご連絡を。 お問い合わせ プライバシーポリシー 個人情報保護方針 去る2015年9月19日、サーバーを借りているlolipopから通知が有りまして3年間程運営していたブログがウイルス感染のためあっけなく閉鎖することになりました。 9月15日頃にいわゆるボットが発動したものと思われ、私が借りていたサーバーから大量にSPAMメールが撒かれていたようです。以下9/15から9/16にかけてlolipopから通知があった撒かれたスパムメールの件数です。 (9/15 ) 21:39 ➡ 314通 22:12 ➡ 335通 23:09 ➡ 306通 (9/16) 0:18
補講:なぜPHPアプリにセキュリティホールが多いのか?
【スクリプトインジェクション対策19】ユーザを教育する 2008年4月30日 【スクリプトインジェクション対策18】ログイン処理を正しく実装する 2008年4月28日 【スクリプトインジェクション対策17】パスワードを正しく管理する 2008年4月25日 【スクリプトインジェクション対策16】関連するサイトが利用しているドメイン名の一覧を提供する 2008年4月24日 【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする 2008年4月23日 【スクリプトインジェクション対策14】HTML,CSS,JavaScriptの生成はホワイトリスト方式を利用する 2008年4月22日 【スクリプトインジェクション対策13】不正な文字データを保存できないようにする 2008年4月21日 【スクリプトインジェクション対策12】データベースなど,内部デ
御社は大丈夫? 公開前のはずの重要情報がWebサイトから漏洩、CMSの公開予定でもダメな場合がある? | 初代編集長ブログ―安田英久
今日は、企業サイト管理者にとって「うちは大丈夫か?」と気になる話題を。もう少し後にならないと公開されないはずの情報が、Webサイトで見えるようになってしまっていた事件があったのです。それも国家試験の問題が試験前に見えていたという。 国家検定ファイナンシャル・プランニング技能検定試験の 試験問題が試験日前に……国家検定ファイナンシャル・プランニング技能検定試験が1月27日に実施されたのですが、試験実施団体である一般社団法人金融財政事情研究会のWebサイト上で、試験問題のPDFが試験日よりも前に閲覧できる状態になっていたのです。 報道では、次のようにいわれています。 過去の問題をHPで公開しているが、問題ごとに割り振られているURL(ネット上の住所)の一部を試験実施日を意味する「20130127」に書き換えることで閲覧可能な状態になっていたという。 同サイトでは実施した試験の問題を「過去問題」
第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
![第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
@IT:Apacheでユーザー認証を行うには(Digest認証編)
Apacheのユーザー認証には、「Basic認証」と「Digest認証」がある。Basic認証は一般的に行われている方法だが、パスワードが暗号化されないため、機密性の高いデータへの認証には適していない。Digest認証はパスワードが暗号化されるが、これに対応しているのは比較的最近のWebブラウザに限られる。 ここではDigest認証を利用して、特定ディレクトリのWebページを開く際に「secret」というユーザー名でアクセスできるようにする(編注)。Basic認証を使う方法については、Apacheでユーザー認証を行うには(Basic認証編)を参照。
Trend Micro Incorporated
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
誰でもWeb管理画面に入れる気前のいい会社
転職してから2年、晴れて念願の「Web担当」チームに配属になった星野君。着任早々、右も左も分からぬまま3日間でWeb申し込みフォームを作る(第1回)ことに。ところができ上がった申し込みフォームは、あやうくスパムメールの踏み台に……。 まこと先輩の助言によって事なきを得た星野君。さてさて、次なる仕事は? 週が明けて月曜日。セミナー申し込みフォームの制作を一通り終えた星野君は、さっそく次の仕事に取り掛かることにした。スケジュール表によると、次の仕事は「Web管理ツールの整備」となっている。 Web管理ツールとは、Webの更新などに使用しているWebアプリケーションのことらしい。これを使いやすいように整備してほしいというリクエストのようだ。期限まで3日間しかなかった初仕事とは異なり、今回は意外と長い期間が設けてある。 先週はセミナー申し込みフォームの制作で手いっぱいだったので、これまで全体スケジ
何がそんなに危険なのか? スマートフォンセキュリティのおさらいと対策
取りあえず導入してみたいスマートフォン? ユーザーと企業の双方が業務利用に前向きな姿勢を見せるスマートフォンおよびタブレット端末は、非常にユニークな存在だ。 特にコンシューマ市場での普及が進むスマートフォンは、企業にとっても注目の的だが、「(お客様とお話しする中で)現状は具体的な利用目的を明確にしないまま、取りあえず導入してみたいという企業が多い」と、トレンドマイクロ マーケティング本部 プロダクトマーケティングマネージャーの転法輪浩昭氏は言う。 トレンドマイクロ マーケティング本部 エンタープライズマーケティング部 エンドポイントマーケティング課 プロダクトマーケティングマネージャー 転法輪浩昭氏 スマートフォンはユーザーが操作に慣れており、導入における教育や心理的ハードルが比較的低い。企業にとっても“超ミニノートPC”のスマートフォンは、通話に加えて、カレンダーやスケジュール管理、在庫
PCより危険度が高い!スマートフォンのウイルス (夕刊フジ) - Yahoo!ニュース
Q:アンドロイド版のスマートフォンを狙ったウイルスがあるとニュースで見ました。スマートフォンを使うのは危ないのでしょうか? ウイルスに感染するとどうなるのですか? ■メールやアプリから感染、通話傍受の可能性も 質問者は、従来の携帯電話からアンドロイド版のスマートフォンに機種変更したばかりです。便利だと言われているアプリ(=ソフト)をいくつかインストールしましたが、ニュースを見て不安になったとのことです。 たしかに、ここ最近、アンドロイドを狙うウイルスのニュースが多く報じられています。ただ、ウイルスが発見されたのは、これが最初ではありません。最初の発見は昨年の8月といわれ、12月には遠隔操作される「bot(ボット)」と言われるウイルスが見つかりました。その後もアンドロイド・スマートフォンの普及に呼応するかのように、金銭狙いのウイルスがうなぎ上りに急増しています。 しかし、質問者のよう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
誰でも簡単にできる4つのセキュリティ対策で、被害を80%減らせる!? Webセキュリティの専門家・徳丸浩さんに聞いてきた | Webのコト、教えてホシイの!
サービス終了のお知らせ
http://japan.internet.com/webtech/20130404/1.html
情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:知っていますか?脆弱性 (ぜいじゃくせい)/3. CSRF (クロスサイト・リクエスト・フォージェリ)
情報漏えい対策ソフト セキュリティプラットフォーム(SeP)|ファイルの暗号化や履歴の取得、標的型攻撃、ランサムウェア対策など、総合的セキュリティソフトならハミングヘッズ
http://nyx.pu1.net/function/strings/htmlspecialchars.html
これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編)(3/3) - @IT
セキュリティポリシーや認証の問題 - 日経トレンディネット