高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
産総研とヤフー、新セキュリティ技術の開発で共同研究
独立行政法人の産業技術総合研究所情報セキュリティ研究センター(RCIS)とヤフーは1月30日、インターネットにおけるセキュリティ強化技術の共同研究を開始すると発表した。 今回の共同研究は、ヤフーが運営するインターネットオークション「Yahoo!オークション」において、IDやパスワード窃取などフィッシングによる犯罪や不正利用を防止する新セキュリティ技術の開発を目的としたもの。RCISでは2005年4月1日の設立以来、暗号理論からアプリケーションまで幅広い分野を研究対象とするメンバーが総合的なセキュリティ技術の研究開発を行っているが、民間企業との共同研究は初の試みとなる。 両者は今後も常に進化するネット犯罪のリスクに対応し、対症療法的な対策にとどまらず、根本的な問題解決のための対策を講じる共同研究を実施。利用者への啓蒙活動についても協力して行うことで、安全・安心なIT社会実現への貢献を目指すと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
REXMLの脆弱性への対応 - Hello, world! - s21g
*失 言 小 町* - はてなはパスワードを生データで管理してる?
