ますます膨らむWeb 2.0の危険
米アップルから携帯AVプレーヤーの「iPod touch」がリリースされた。2本の指でタッチパネルを操作するユニークなユーザー・インタフェースは,多くのユーザーの関心を集めている。iPod touchには無線LAN機能も搭載され,ユーザーはWebアクセスにもiPod touchを利用できる。 こうしたデバイスの進化によってWebは日常生活にますます浸透するのだろうが,それは同時に,Web経由の攻撃の影響範囲も広がることを意味する。Web経由の攻撃技術は日々巧妙化し,Webコンテンツに含まれるファイルの信憑性が問われる場面は少なくない。典型例が今年6月に世界的に被害が広がったMPack。一般のWebサイトにiframeタグが埋め込まれた。一般のブログやSNS(social networking service)のコンテンツも,必ずしも信頼できるとは限らない。 しかも解決策は不十分。ゼロデイ攻
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
第2回 Webブラウザが乗っ取られ,犯罪者の支配下に
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。第2回目となる今回は,今そこにある危機に迫る。 Zone-Hの場合,犯人は自己顕示を目的としていたため,被害はページ改ざん程度で済んだ。しかし,犯罪者の狙い次第で危険度はもっと高まる(図3)。 図3●XSSのぜい弱性を突くことで可能になる攻撃 キー入力の盗難や他サイトへの攻撃などユーザーが知らないうちに,背後での攻撃が可能になる。 [画像のクリックで拡大表示] 例えば銀行や証券会社のWebサイトにXSSの穴があれば,クッキーを盗まれ,不正送金などにつながるかもしれない。盗んだクッキーを使って業務で使用しているWebメールを盗み見られれば,開発や営業の資
ユーザー参加型ならではの危険性をチェック、KCCSがWeb 2.0向け脆弱性検査
KCCSはWeb脆弱性診断サービスを強化し、SNSやブログなどで生じやすい脆弱性を検査する「Web 2.0対応プラン」を追加した。 京セラコミュニケーションシステム(KCCS)は2月22日、Web脆弱性診断サービスを強化し、「Web 2.0対応プラン」を追加した。SNS(ソーシャル・ネットワーキング・サービス)やブログなどで生じやすい脆弱性を重点的に診断する。 KCCSではこれまでも、Webアプリケーションを対象とした脆弱性診断サービスを提供してきた。クロスサイトスクリプティングやSQLインジェクション、ディレクトリトラバーサルなど、ユーザーの個人情報流出などにつながるおそれのある脆弱性を、ツールと専門家による手作業の診断、ソースコードの解析を通じて発見し、報告する。 Web 2.0対応プランでは、SNSやブログなど、ユーザー参加型のWebサイトで発生しやすい脆弱性について、これまでのノウ
Web2.0のサービスが新たなセキュリティリスクに
シマンテックは2006年11月6日、インターネット上に見られる脅威の動向に関する記者説明会を開催。同社で不正プログラムの解析などを担当する「セキュリティ レスポンス」のメンバーが2006年に見られた脅威の傾向や、2007年にかけての見通しを語った。セキュリティ レスポンス オペレーションディレクターであるケビン・ホーガン氏(写真)によると、最近の傾向の一つとしてInternet ExplorerやFirefox、マイクロソフトやジャストシステムのオフィスソフトといった、アプリケーションのぜい弱性を悪用する攻撃が増えている点が挙げられるという。これは手法としては以前から見られたものだ。修正プログラムがリリースされるなどしてOSのぜい弱性が以前より発見しにくくなったり、見つけても悪用するためにさまざまな条件が伴ったりするようになってきた。そのため、手間を惜しんだ不正プログラム作成者がアプリケー
「フィッシングやマルウエアも“2.0”に」,セキュリティ対策を回避する脅威が続出
デジタル証明書の更新プログラムをかたるマルウエアが表示する画面例(米McAfeeの情報から引用)<br>デジタル証明書にアクセスするためのパスワード入力を求めている セキュリティ組織の米SANS Instituteは現地時間8月4日,銀行などが講じるセキュリティ対策を回避するフィッシングやマルウエア(悪質なプログラム)が次々と出現しているとして注意を呼びかけた。 金融機関などのWebサイトでは,なりすましなどを防ぐためにさまざまなセキュリティ対策を導入している。例えば,ワンタイム・パスワードやデジタル証明書(PKI)である。それに伴い,攻撃者側も“工夫”を凝らすようになり,そういったセキュリティ対策を回避する,あるいは逆手にとるような攻撃方法が出現しているという。 その一例として挙げているのが,7月に確認されたフィッシング詐欺(関連記事:ワンタイム・パスワードでは防げない“中間者攻撃フィッ
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan
「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。 Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業(「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど)の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。 ウェブセキュリティ企業のSPI Dynamicsでリ
[特集] Web 2.0ってなんだ? - CNET Japan
ブログ、ロングテール、AJAXなど現在のウェブ、いやインターネット上でホットなキーワードを結びつけているのが「Web 2.0」という概念だろう。ネットバブルを経て沸き起こったインターネットのサービスは、ウェブをプラットフォームとした新たなアーキテクチャーとビジネスのあり方を提示しているのだという。しかし、Web 2.0の定義はあまりにもあいまいである。果たしてWeb 2.0とはなんだろうか? Tim Oreillyの論文や10月に行われたカンファレンスからその概念を紐解いていこう。
![[特集] Web 2.0ってなんだ? - CNET Japan](https://cdn-ak-scissors.b.st-hatena.com/image/square/20f59e28885b8797bf420b42566d262232fa6214/height=288;version=1;width=512/https%3A%2F%2Fjapan.cnet.com%2Fimg%2Fweb20%2Fweb20_h1.gif)
Epic 2015
31 Flavours 2001 2004 2023 (Default) 2023 Dark Electric Just Peachy Mindful Minty Fresh Nautical Rosey Tiffany Blue® The Most Epic Animations of all Time in the Whole World Flash Videos Epic 2015 This animation has the word epic in the title, and look at the huge-mungus filesize. It's gotta be epic. I'm hosting this on 10 servers for goodness sake: Epic 2015 Robin Sloan and Matt Thompson How to Ki
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bugtraq
「Web 2.0狙う脅威が出回るのは時間の問題」Symantecのホーガン氏
EPIC 2014 ??????