2010年上半期の最強アンチウイルスソフトが決定 - GIGAZINE
by US Army Korea - IMCOM 偽セキュリティソフト「Security Tool」が猛威を振るったのはつい先日の話ですが、この被害が拡大した一因にはシェアの多くを占めているアンチウイルスソフトがこの「Security Tool」に対応していなかったというのも挙げられます。つまり、アンチウイルスソフトを入れていたおかげで助かった人がいた一方で、ソフトを入れていたにも関わらず感染した人も多数いたというわけ。 では、一体、どのアンチウイルスソフトを使えばよいのでしょうか。アンチウイルスソフトのテスト機関「AV Comparatives.org」が2010年8月に行ったウイルス検出テストの結果が発表され、上半期の優れたアンチウイルスソフトが明らかになりました。 今回感染を免れた人も、感染してしまってソフトの乗換を考えているという人も、どういうソフトが上位に入っているのか確かめてみ
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
Iso27001certificates.com
Iso27001certificates.com This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: music videos Parental Control song lyrics Free Credit Report find a tutor Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり
今回の方法は昨年11月に発表された「Tews-Beck攻撃」(WEPのTKIPにおいて辞書攻撃ではなくプロトコルの不備をつくことによって、15分前後かかるが、鍵の一部を確定的に導出できる方法)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。 このWPAについての実践的な攻撃方法は8月7日に「A Practical Message Falsification Attack on WPA」という題目で、台湾にて開催される国際会議 JWIS2009(Joint Workshop on Information Security )にて大東俊博氏(広島大学 情報メディア教育研究センター)と森井昌克氏(神戸大学大学院 工学研究科)によって発表される予定となっています。 詳細は以下から。 Jo
たばこ協会が検察に…タスポ利用情報を提供(社会) ― スポニチ Sponichi Annex ニュース
たばこ協会が検察に…タスポ利用情報を提供 たばこ自動販売機の成人識別カード「タスポ」を発行する日本たばこ協会が、特定の個人が自販機を利用した日時や場所などの履歴情報を検察当局に任意で提供していた。個人の生年月日や住所、電話番号、カード発行日などのほか、たばこ購入の日時や利用した自販機の所在地を一覧表にして提供。免許証など顔写真付き身分証明書の写しが添付された申込書のコピーを渡した事例もあった。 タスポの情報は、カード使用者がいつ、どこでたばこを購入したかという蓄積された履歴を見れば、生活拠点や行動パターンをある程度把握できるのが特徴。行方の分からなかった罰金未納者の所在地特定につながったケースもあったという。 クレジットカードや携帯電話の使用履歴はこれまでも捜査当局に使われてきたが、タスポ情報は初めてとみられる。
JPCERT Coordination Centerソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書
こちらはご意見・ご感想用のフォームです。各社製品については、各社へお問い合わせください。 ※本フォームにいただいたコメントへの返信はできません。 返信をご希望の方は「お問合せ」 をご利用ください。
ssh ブルートフォースアタックについて。 - trial and error
なんとなく書いてみます。 Linux などのシステムを管理する際、ssh でアクセスすることが非常に多いかと思います。 ssh は便利ではありますが、乗っ取られたら終わり、という側面も持っています。 secure shell というぐらいあって、高度なセキュリティによって通信内容などは保護されています。 さらに、ユーザー名とパスワードでという従来よくあった方法ではなく、鍵を利用した暗号化通信を行うこともできるので、非常に頑丈であり乗っ取るのは難しいです。 しかし、これはあくまでも、理想というか、きちんとセキュリティを理解して設定・管理した場合の話です。 鍵方式でなくても ssh は利用できますし、というか初期設定では、ユーザー名とパスワードで認証する設定になっている場合がほとんどではないかと。 んで、そんな甘いサーバーに力ずくで侵入しようとする輩もいます。 適当なユーザー名とパスワードで、
spamと不正なメール中継についての解説
spam情報 = spamと不正なメール中継についての解説 = HOT TOPICS spam対策のプロの作業を日記で綴るコラム ハートの拒絶日記をどうぞ。 姉妹ページの フィッシング詐欺のサイト情報があります。 当社の昨日のe-mail拒絶状況 RBLにより拒絶 (内訳: RBL.JPが SPAMCOPが DSBLが spamhausが ) 拒絶リストにあったため拒絶、うちが逆引きが無くて拒絶 拒絶リストに設定されている数: Greet Pauseにより拒絶 (現在30秒) From: が存在しないドメイン名あるいはホスト名であったため拒絶 削除した宛先( To: )であったために拒絶 第三者中継が行われようとして拒絶 SpamAssassinでspamと判定 (ただいまbl.spamcop.netは使用していません) spamとは spamとはネズ
一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定
CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の
パスワード・ポリシーについて――“長さ”か“複雑さ”か
米マカフィーの教育プログラム「Essentials of Hacking」および「Ultimate Hacking」で筆者が講義する際に詳しく取り上げたい話題の一つは,パスワードのブルート・フォース(総当たり)攻撃(関連記事:Networkキーワード「ブルート・フォース攻撃」とは)とクラック(関連記事:情報セキュリティ入門「パスワード・クラック」)である。筆者は通常,まず生徒たちに「強靱なパスワード・ポリシー」について考えてもらい,その後これらのポリシーに共通する実装や攻撃について分析することにしている。必然的に,生徒が考え出すパスワード・ポリシーは,おおむね以下のようなものとなる。 ・最低1文字の大文字 ・最低1文字の小文字 ・最低1文字の数字 ・最低1文字の記号 ・長さは最低7文字 このパスワード・ポリシーを簡単に解析してみると,以下のようなものとなる。 ・文字セットの数は,おおまかに
「不正アクセス」の定義をご存知ですか?:ITpro
問題を一つ。退社した元社員のユーザー名,パスワードを使って認証を回避した場合,「不正アクセス禁止法」(厳密には,不正アクセス行為の禁止等に関する法律)に照らして犯罪になるか?そしてその根拠は? この問題に,どのくらいの方が即答できるだろうか。不正アクセスという言葉はよく使われるが,不正アクセス禁止法で何を禁止しているのかは必ずしも正しく認識されていない。原因は「アクセス」の定義が明確になっていないことである。そこで今回は,法律からみる不正アクセスについて考えてみよう。 不正アクセス禁止法のように,刑法とは別に存在する刑法系の法律を特別刑法という(刑法と特別刑法を合わせて広義に刑法と呼ぶこともある)。刑法系の法律では,違法とする行為を明確にすることが特に要求される。これが曖昧な法律や条文は憲法違反(憲法31条)となり,起訴されても無罪判決が下されることになる。もっとも現実には言葉は数式のよう
我々は公共性の進化に見あった速度で進化しているか - アンカテ
Attacking PHP - Matzにっき(2008-01-26) まつもとさんのこのエントリから凄い騒ぎになっているようだけど、ここで一番重要なことは、PHPやRubyがどうのこうのでなくて Webアプリケーションをなめるな こっちの方だと思う。 「初心者にやさしい言語(技術、方法論)の開発」→「本質的な問題の隠蔽と関係者の人口増加の同時進行」→「問題の拡散」というパターンはこれまで何度も繰り返されてきたことだ。 たとえば、VisualBasicやAccessやExcelのユーザが増えはじめた時は、「DBをなめるな」と私は思った。データベースというものは、しっかり業務分析をした上で、論理設計と物理設計をきちんとしないと、最後には破綻する。イージーなツールにも使い道はあるけど、明かに想定を超えた使い方で業務ソフトを作ってしまい、つぎはぎだらけになって収拾がつかなくなる例を何度も見てきた
利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
ITpro SPECIAL - ソリューション価値証明vol.10
1993年に全社的な「事業継続計画(BCP)」策定に着手したHPは,10年ほど前から,その成果を「事業継続・災害対策(BC&A)」ソリューションとして提供中だ。数多くの実績を基に,同社ではBCPの策定と「情報技術災害復旧(IT-DR)」の構築を業種・業界別にパターン化。実証済みの「枯れた」テクノロジーと併せて提供することによって,企業の費用などに対する懸念を払拭し,自らの問題としてBCP策定とIT-DR構築に取り組んでもらえるように配慮している。ここでは,BCP策定とIT-DR構築をうまく進める方法について,日本HPでシニアBC&Aスペシャリストを務める若松和史氏が解説していく。 日本ヒューレット・パッカード株式会社 テクニカルセールスサポート統括本部 ソリューション技術本部 インフラストラクチャソリューション部 シニアBC&Aスペシャリスト 若松 和史 氏 事業継続性(BC)とは,災害な
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ScanNetSecurity
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/27
ScanNetSecurity - 過去の委託先SEから個人情報延べ9,558件が流出(新潟県総合生活協同組合)