情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
Introducing Content Security Policy - MDC Doc Center
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT
そんな大綱で大丈夫か?―第2回プライバシーフリーク・カフェ(前編)
高木 山本さん遅刻ですね。間もなく到着だそうですが。さて、第1回からずいぶん経ちましたが、いつでしたっけ?前回は。 鈴木 もう半年前ですね。 高木 そんな前ですか。で、どうしましょうか。司会者いらっしゃらないので、ちょっと状況を。えーと、大綱が出ました。先週決定されました。その名も、なんでしたっけ? 鈴木 「パーソナルデータの利活用に関する制度改正大綱(PDF)」ですね。 高木 あれ?パーソナルデータの保護とか、そういうんじゃないんですか?保護じゃない? 鈴木 利活用大綱ですね。 高木 利活用!利活用制度大綱。こんなんありですか? 鈴木 んーまあ、そもそもこのミッションがアベノミクスの三本の矢の経済成長ですからね。まえがきには「ビッグデータ」という言葉が躍っていますから、産業界からの強い意向を受けてですね、まさに、ビッグデータで経済成長のために改正しようと。こういう内容です。 高木 はい。
オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まつてゐる
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
ASP・SaaSの情報セキュリティ対策に関する研究会
ASP・SaaSの情報セキュリティ対策に関する研究会 開催についての報道資料 第1回会合(平成19年6月21日) 配付資料 議事要旨(PDF) 第2回会合(平成19年8月8日) 開催案内 配付資料 議事要旨(PDF) 第3回会合(平成19年10月17日) 開催案内 配付資料 議事要旨(PDF) 第4回会合(平成19年12月18日) 開催案内 配付資料 議事要旨(PDF) 第5回会合(平成20年1月29日) 開催案内 配付資料 議事要旨(PDF) ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集(平成19年12月19日) ASP・SaaSの情報セキュリティ対策に関する研究会報告書等の公表及び意見募集の結果(平成20年1月30日)
サードパーティCookieの歴史と現状 Part3 広告における利用、トラッキング、ターゲティング広告におけるプライバシーリスク - 最速転職研究会
前回の続き。なるべく一般人向けに書きます。サードパーティCookieとあまり関係のない話も書きます。 http://d.hatena.ne.jp/mala/20111125/1322210819 http://d.hatena.ne.jp/mala/20111130/1322668652 前回までの概要 トラッキング目的のCookieの利用などからサードパーティCookieの利用は問題視されIE6で制限がかけられるもプライバシーポリシーを明示すれば利用できるという迂回手段を用意、しかし今ではP3Pはオワコン化、SafariはサードパーティCookieの受け入れをデフォルトで拒否する設定を採用したが一度受け入れたCookieは問答無用で送信、Mozilla関係者は「殆ど合法的な利用目的はない」と言っていたものの既存Webサイトとの互換性のために変更できず、ブラウザはサードパーティCookie
ぬかるむ日々「USBメモリでTrueCryptを使う」
TrueCryptの特徴としては メディアを選ばない 外出先PCへのインストールが必要ない ニセ隠しボリューム(外殻)の中に本当の隠しボリュームが作成できる 3番目がオシャレ。 とりあえずUSBメモリ等のリムーバブルメディアで使うにあたって、2番目の「外出先PCへのインストールが必要ない」っていうのは結構重要です。 以下、USBメモリ等で使用する為のメモ TrueCryptのセットアップ 1.ダウンロード とりあえず[TrueCryptのダウンロードページ|http://www.truecrypt.org/downloads.php]から本体(truecrypt-4.x.zip)をダウンロードします。 また、「Language Packsのページ|http://www.truecrypt.org/localizations.php」へ進み日本語langpack(langpack-ja-x.
続パスワードの定期変更は神話なのか - ockeghem's blog
2008年2月にパスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専門家にも多くなっているような印象を受けている。 そのよう状況の中、以下の記事を読んだ。 辞書攻撃がうまくいかない場合、クラッカーは総攻撃(ブルートフォース攻撃とも言います)を仕掛けます。【中略】仮に1秒間に1000万回の計算ができるとすれば、パスワードのクラックに要する時間は1年にもなりません。どんなに強固なパスワードであっても、1年ももたないということになります。だからこそ、3カ月に1回とか半年に1回はパスワードを変更する必要があるのです。(2ページ目より引用) http://www.itmedia.co.jp/enterp
自動起動を無効にしても防げないUSB攻撃、ほとんどのOSが該当 | エンタープライズ | マイコミジャーナル
Taranfx.com - Your Gateway to Technology, Redefined. ウィルスやマルウェア、スパイウェア、悪意あるプログラムはあの手この手でPCに侵入を試みる。特定のルートがあるわけではなく、その時々の流行に合わせてさまざまな方法が発見される。たとえば古くはFDDからの侵入、不正なプログラムを含んだアプリケーションをダウンロードさせる形式での侵入など。現在ではブラウザの特性を活かして不正なプログラムをインストールすることなく重要な個人情報を取得したり、クッキーを取得してから総当たり手法でサーバへの侵入を試みるなどがある。 そうした侵入経路の一つに、USBメモリに不正なプログラムを仕込んでおき、USBポートにさしたときに自動実行するというものがある。この侵入自体は自動起動機能を無効にしておけばいいし、特定のOSに限定されるためそれほど驚異的というものではな
ガラパゴスに支えられる携帯サイトのセキュリティ | 水無月ばけらのえび日記
公開: 2010年3月6日14時20分頃 モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。 携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできないこれはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。 PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送
波状言論>情報自由論
text 情報自由論 html version index 情報自由論ってなに? 「情報自由論 データの権力、暗号の倫理」(以下「情報自由論」)は、批評家・哲学者の東浩紀(僕)が、情報社会と自由の関係を主題として書き記し、『中央公論』2002年7月号から2003年10月号にかけて、14回にわけて発表した論考です。このサイトでは、そのすべての原稿が公開されています。 「情報自由論」の構想は、遠く、1990年代後半に『InterCommunication』で連載されていた論考、「サイバースペースは何故そう呼ばれるか」(未刊)に遡ります。2000年代はじめの僕は、第1章でポストモダンの理論的な問題を扱い、第2章でその情報社会における展開を扱い、第3章でそのサブカルチャーにおける展開を扱う大部の著作を夢見ていたことがありました。『動物化するポストモダン』はその第3章が、「情報自由論」は第2章が変形
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
景気後退で失業のIT労働者により犯罪増--専門家予測
2009年には、解雇されて金に困った技術者やIT労働者が企業データを密かに流す、クライムウェアを使うなどの悪事に手を染めるのではないか、という予測が伝えられている。 現在起きている信用収縮は、フィッシング攻撃でクレジットカードのデータを盗み出したり、企業コンピュータへの特別なアクセス権を使って財務や知財の価値ある情報を売り払ったり、スキルを悪用するIT労働者を増やす方向に働くと、フォレンジックの専門家たちは警告している。 PricewaterhouseCoopers(PwC)とセキュリティ企業Finjanはいずれも、景気後退の影響で2009年には企業内の不正とサイバー犯罪が著しく増加すると予測する。 PwCのフォレンジック専門家は、スタッフによる不正の増加を財務サービス部門がすでに調査していると主張する。Finjanは、解雇されたITスタッフがクライムウェアのツールキットを使ってフィッシン
証明書の内容についての記載は必要なのか? | 水無月ばけらのえび日記
しかし、これだけでは十分ではありません。実際にあった例では、フィッシング詐欺の偽サイトがSSLを利用していました。この場合、一見すると施錠された鍵マークが出ているので正規サイトと見分けがつきません。 (~中略~) ユーザーを大事にしている企業では、トップページなどに「当サイトのSSL証明書には次の様に記載されております」といった形で、内容が掲示されていることもあります。しかし、国内ではこのような対応をしている企業は少ないのが実状です。 いまいち意味が分からないのですが……そのような掲示に、何か意味があるのでしょうか? ここでは、攻撃者が自サイトの証明書を持っているケースを想定しているのですよね。であれば、攻撃者も「当サイトのSSL証明書には次の様に記載されております」として証明書の内容を記載する事が可能です。よって、その掲示自体が本物なのか否かを確認しなければならないはずですが……この掲示
メール用パスワードの復旧サービス~パスワード破りの新潮流?
インターネットを常用しているユーザーなら,何らかの無料Webメール・サービスを使っている比率は相当高いだろう。事実,筆者の知人は大半がgmail.com,hotmail.com,yahoo.comといったメジャーなドメインのメール・アカウントを複数取得し,個人的な用途に利用している。 残念なのは,これらアカウントのパスワードを覚えておくことが面倒なことだ。とりわけ,使用頻度が低いアカウントだったり,ソフトウエアの「ユーザーIDとパスワードを保存する」オートコンプリートなどの機能を使っていなかったりすると,パスワードの記憶は手間がかかる。 パスワードを忘れてしまったら,どう対処するだろうか。メール・サービス業者に問い合わせた際に出される「パスワードを忘れたとき」用の質問にうまく答えられなくても,パスワードを知る方法はいくつもある。 Webブラウザがパスワードを「記憶」していたり,「Micro
無線LANセキュリティ規格「WPA」突破――その対策は?
セキュリティ研究者は今週、無線LANセキュリティ規格「WPA」をどのようにして突破できたかについて説明することになっているが、eWEEK Labsでは、このことが無線LANの管理者にとってどのような意味を持つかを説明しよう。 今週東京で開催される「PacSec 2008」カンファレンスでは、研究者のエリック・テューズ氏とマーティン・ベック氏が、WPAの暗号化技術を破るために考案した手法について説明することになっている。 今のところ、この攻撃の影響が及ぶ範囲は限られている。この攻撃はTKIP(Temporal Key Integrity Protocol)で暗号化されたネットワークにのみ有効であり、また、トラフィックを追加することはできてもデータを傍受することはできないからだ。だが、この攻撃手法をめぐり大きな混乱が生じるであろうことは確実だ。 本稿では、この攻撃とその影響について5つの要点を
非公開ディレクトリvs非公開設定 | 水無月ばけらのえび日記
重要なデータファイルは、外部から閲覧できるディレクトリに格納すべきではない。外部から閲覧できないディレクトリにしておけば、httpd.confにわざわざ指定する必要もないのだ。 見られて困るデータファイルは、公開ディレクトリに配置して非公開に設定するのではなく、非公開ディレクトリに配置するべきだというお話。 ……で、この話で思い出したことが。 以前、社内で「cgi-binはドキュメントルートの外に置いてScriptAliasにするべきだ」という意見に対し、「cgi-binは普通のディレクトリにExecCGIでも良いのではないか」という意見が出て議論になったことがあります。 ScriptAlias派の意見としては、こういうことです。 データファイルをcgi-binに置くべきではないが、うっかり置いても大丈夫な状態の方が良いのではないか。それに対し、ExecCGI派の意見はこうなのですね。 デ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
だまし討ち、ダメ。ゼッタイ。―第2回プライバシーフリーク・カフェ(後編)
第3回 CSRFの対策法ってどんなもの? | gihyo.jp
