Polyfill .ioが中国企業に売却 背景と対応策は? - ろぼいんブログ
Web開発者たちにとって、ブラウザー間の互換性問題は長年にわたり頭痛の種となっています。そんな中、Polyfill.ioは多くの開発者にとって救世主のような存在でした。 しかし、この度Polyfill.ioは中国企業のFunnullに売却されたことが明らかになり、開発者コミュニティーに波紋を広げています。 この記事では、Polyfill.ioの売却について、またWeb開発者が取るべき対策について詳しく解説します。 Polyfill.ioとは? 画像:Polyfill.ioの公式サイト Polyfill.ioは、ブラウザー間の互換性問題を解決するためのサービスです。 具体的には、各リクエストのUser-Agentヘッダーを読み取り、リクエストを送信しているブラウザーに適したポリフィルを提供します。 ポリフィルとは、古いブラウザーで新しいブラウザーの機能をエミュレートするためのコードのことです
ホーム - OWASP Top 10:2021
導入 OWASP Top 10 - 2021 へようこそ OWASP トップ 10 の最新版へようこそ! OWASP トップ 10 2021年版は、グラフィックデザインが一新され、1ページのインフォグラフィックになっています。インフォグラフィックは、ホームページから入手でき、印刷することができます。 今回のトップ10の作成にあたって、貴重な時間やデータを提供してくださったすべての皆さんに感謝します。皆様のご協力なくしては、OWASP トップ 10 2021年版は存在し得ません。本当に、感謝いたします。 2021年版トップ10の変更点 2021年版トップ10では、3つの新しいカテゴリー、4つのカテゴリーの名称とスコープの変更がありました。統合されたものもいくつかあります。 A01:2021-アクセス制御の不備 は、5位から最も深刻なWebアプリケーションのセキュリティリスクへと順位を上げまし
一般ユーザに払い出すと危険なサブドメインやメールアドレス - ASnoKaze blog
ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 (あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。) サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
おうちでキャンプ: 2019 年全国大会「体系的に学ぶモダン Web セキュリティ」 - セキュリティ・キャンプ ブログ
はじめに セキュリティ・キャンプ協議会企画グループの米内です。 今回はおうちでキャンプの第二段として、セキュリティ・キャンプ全国大会 2019 で提供した講義「体系的に学ぶモダン Web セキュリティ」を少しだけアップデートしたものを公開します。 ぜひ自宅での学習にご利用ください。 なお本資料・演習は一部攻撃手法の歴史に関する言及を含んでいます。 しかしこれは Web クライアントサイドにおけるセキュリティ機能の必要性をよりよく理解していただくためのものです。 当然ながら違法行為を助長するものではありません。 本資料・演習がよりセキュアな世の中を作っていくための一助となるのであれば幸いです。 公開物 先だっての講義で使用したスライドに一部修正を加えたものを以下にて公開しました。 このスライドは主に Web クライアントサイドの基礎的なセキュリティ機能・攻撃技術の発展を大まかに眺めていく、と
体系的に学ぶモダン Web セキュリティ (#seccamp 全国大会 2019 B5) / Learn Modern Web Security Systematically
セキュリティ・キャンプ全国大会 2019 開発と運用トラックで提供した講義の資料の一部です。誤りに気がついたら、ぜひ @y0n3uchy あるいは @lmt_swallow にお知らせください。
Web における技術の解釈とエコシステムによる合意形成プロセスについて | blog.jxck.io
Intro 「ユーザが意図する挙動」とは何か。技術的に可能であるが「やらない方が良いこと」は、誰がどう決めるのか。 Web には仕様、実装、デプロイ、そしてユーザの利用とフィードバックによって、そうした合意がゆるやかに形成されていく仕組みがあると筆者は考えている。 しかし、これは明文化されているわけでもなく、その全体像を把握するのは一般には難しいだろう。 今回は、ちょうど何度目かの議論が再発している ping 属性を例に、この合意形成の概観について解説を試みる。 リンクの ping 属性 <a> には ping という属性があり、以下のように URL を指定する。 <a href=https:example.com ping=/path/to/report>example.com</a> HTML Standard - ping Attribute このリンクは、クリックすると https
Web over HTTPS
Web over HTTPS DevFest Tokyo 2016 #devfest16 2016/10/0
Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
DNSの終焉が垣間見える、ぶっ飛んでて危険すぎるお名前.comの検閲事件
忍者ツールズ全サービスが表示不可となる障害につきまして | ドメイン取るなら お名前.com ドメイン取得 年間280円~ 忍者TOOLSは、お名前.comというドメイン名レジストラにninja.co.jpのドメイン情報を管理させていた。忍者TOOLSは、ninja.co.jpというドメインを、自社の様々なサービスに使っていた。そのサービスは、忍者TOOLSのユーザーが使うものである。 さて、お名前.comの主張では、忍者TOOLSのユーザーがお名前.comの規約違反を起こしたために、ユーザーの規約違反は、すなわちそのユーザーのサービス提供元の規約違反であるとし、事前の協議や警告すらなしに、一方的にninja.co.jpのドメイン情報を消したそうだ。 これは恐ろしく危険な事件である。問題は、DNSが階層的な中央管理をされたシステムである以上、この問題は仕組み上どうしようもないという事である
初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本を必須に入れるか迷ったけど、あの厚さは、万人は読めないので、上位ランクだけど必須からははずした。 ★Webサイト構築 安全なウェブサイトの作り方 改訂第5版 http://www.ipa.go.jp/security/vuln/websecurity.html 携帯ウェブサイトの実装方法を追加 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ★発注仕様 発注者のためのWebシステム/Webアプ
嫌がらせとしか思えない解読困難な画像認証いろいろ - GIGAZINE
ネットサービスに登録するときや忘れたパスワードを回復するときなどにIDとパスワード以外に、画面に表示されている文字を入力して人間かそうでないかを認証する「画像認証(captcha)」というものを見かけることがありますが、非常に解読するのが困難で「ログインさせる気がないだろ!」と突っ込みたくなるような画像認証があるようです。 日本でもGmailの画像認証は文字が読み取りづらく読解困難と言われていますが、世界にはGmail以上にログインするのが困難なものがあるみたいです。 画像は以下より。 何を書いているのかわかりにくい。Gmailはこれに似ています。 文字がありすぎて、どれを入力すればいいのか分かりません。 ネコの絵が描かれている文字を入力するようですが、文字に隠れてどれがネコかわかりにくい。 難解な計算式。ログインする気を無くしてしまいます。 微分を使った計算式。 右の図面を組み立てるとど
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
