The W3C has undertaken standardization of CSP and you can find the W3C spec here. Old Document Alert: The old Mozilla-specific spec document has been separated into two smaller documents, and those are deprecated in favor of the W3C spec. But in case you want them, here they are. Normative: Security/CSP/Specification Non-Normative: Security/CSP/Design Considerations
このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 Steve Lipner Michael Howard Security Engineering and Communications Security Business and Technology Unit Microsoft Corporation March 2005 日本語版最終更新日 2005 年 5 月 27 日 概要 : この文書では、マイクロソフトが悪質な攻撃に耐える必要のあるソフトウェア向けに採用した開発プロセスである、信頼できるコンピューティング (Trustworthy Computing) のセキュリティ開発ライフサイクル (Security Development Lifecycl
Maddin, 5. März 2007 um 16:46:28 MEZ Paper: SessionSafe - Implementing XSS Immune Session Handling My SessionSafe-paper is online for quite a while now, but I never found the time to write about it. The paper describes three methods that, if used in combination, allow to protect web applications against session hijacking even in situations when a XSS attack already successfully injected malicious
ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
[運用] 企業におけるUSBメモリ活用ガイドライン 2.Windowsの設定でUSBメモリを使用不可能にする 井上 孝司 2008/09/18 対策1:USBメモリを使用不可能にする まず最も厳しい対策として、Windowsの設定によってUSBメモリの読み取り/書き込みともに不可能にする方法について解説しよう。Windowsの設定変更だけで対応できるので、追加コストは発生しない。 これには、USBメモリに対する読み書き制限を用いる場合と、USBメモリというデバイスそのものをインストールできないようにする2つの方法がある。いずれの方法でも、USBメモリそのものを使えなくするので強力な制限が可能だが、場合によってはほかのデバイス(USB接続のCD-Rドライブなど)にも影響が及ぶ可能性が考えられる。 ■Windows Vista/Windows Server 2008の場合 管理対象のコンピュー
修士論文の執筆もいよいよ後半戦。毎週修士論文工房をおこなっているが、そろそろ終了に向かっていく作業を始めよう。 僕のところで修士論文を書いている学生の多くはコラボレーションでいままで研究を行ってきた。プロジェクトのメンバーとして活動してきた状態から、個人の作品として修士論文を書くことになって混乱している。都市メディアのチーム、医療システムのチーム、新しいメディア開発のチームなどがあるが、すべてにおいて、共通する特徴がある。それは、人間と携帯端末とそれが繋がるネットワーク、そしてその先のデータの世界のインタラクションという非常に複雑な現象を扱っているというところだ。クラウドコンピューティングとWebサービスの登場によってこうした複雑なシステムを学生プロジェクトでも作ることができるようになったのだ。そしてなかなか面白い結果を出しているが、これを論文の形で説明することは非常に難しい。また全体に
(Last Updated On: 2018年8月13日)一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。 その間違いとは 意図の取り違い – 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足 です。(※0) 徳丸さんは非常勤とは言え、国の出先機関の研究員であるし、その出先機関は職務放棄とも言える文書(「例えば、PHPを使用しない」と勧める文書)を公開している(いた?)のでしっかり反論しておく必用がありますね。IPAのあの文書は職務放棄と言える文書だと思っています。これについても後で意見を述べます。 意図の取り違い – 誤読 最初の間違いは私のブログのエントリ「何故かあたり前にならない文字エンコーディングバリデーション」に対する理解です。特にPHPユーザに
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-05-27 08:36 セキュリティ研究者が、Twitter APIがワーム攻撃に利用される可能性について警告している。 注目を集めるソーシャルネットワーキング・マイクロブログサービスであるTwitterは、ワーム攻撃を阻止するため、クロスサイトスクリプティングやその他の脆弱性の修正に大急ぎで取り組んでいるが、研究者のAviv Raff氏が指摘するように、Twitterを攻撃するワームを送るためにTwitter APIが「弱いリンク」として悪用される可能性が高い。 ブラウザとウェブアプリケーションの脆弱性に関する研究で知られるRaff氏は、APIを利用するサードパーティサービス(Twitpicなど)に1つ脆弱性が存在すれば、それが次のTwitterワームの原因になり得ると指摘している。
TwitterやFacebookの人気が高まるにつれ、さまざまな手段によるハッキング攻撃が増加している。 ハッカーたちの間でソーシャルネットワークに対する関心が高まっているというのは驚くには当たらない。 米Breach Securityの半期報告書「Web Hacking Incidents Database 2009」が強調したのは、その関心がどれほど高まっているのかということだ。同社の調査によれば、2009年上半期に最大のターゲットになった分野がFacebookやTwitterなどのソーシャルネットワークであり、ハッキング攻撃の19%を占めた。 米Arbor Networksのホセ・ナザリオ氏は先週、Twitterを指揮制御システムとして利用することにより、感染したコンピュータに指令を送り込もうとする攻撃を発見した。その後、米Symantecなどのセキュリティ企業もこの状況を解明するた
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
講義の目的 WSRFを構成する基本的なコンセプト WS-Addressing WS-Resource WS-ResourceProperty を解説する。 WS-Notificatonの基本的なコンセプトを解説する。 JAX-RPCを発展させた、WSRFのWSDLを中心とする開 発手法については割愛する。 WSRFの詳細については、次のドキュメントを参照のこと。 GridとSOAをつなぐもの --- WSRFとNotification --稚内北星学園大学 丸山不二夫 「Grid/WSRFとビジネスプロセスの統合」 http://www.wakhok.ac.jp/~maruyama/summer04/wsrf.pdf Agenda 1. 2. 3. 4. OGSAとWSRF WSRFとは何か WS-Addressing WS-Resource OGSAとWSR
EAは、社会環境や情報技術の変化に素早く対応できるよう「全体最適」の観点から業務やシステムを改善する仕組みであり、組織全体として業務プロセスや情報システムの構造、利用する技術などを、整理・体系化したものである。 政府のEA導入の目的としては、大きく次の3つが挙げられる。これらは、政府と同様の課題を持つ地方自治体にも当てはまり、民間企業でも同じように活用できるものと考えられる。 EAの第一の目的は、電子政府関連予算をより効率的かつ効果的に活用することである。 IT投資の無駄を回避するためには、組織全体の「全体最適」の観点から合理的なシステムを構築しなければならない。このため、あらかじめ業務・システムの現状を明確化し、どこに重複投資があるのか、どこに無駄があるのかを明らかにする必要がある。 EAの第二の目的は、顧客志向への転換による高度な行政サービスを実現することである。これまでの業務の電子
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く