大学共同利用機関法人 情報・システム研究機構 国立情報学研究所(NII、所長:喜連川 優、東京都千代田区)は、所内に「匿名加工情報に関する技術検討ワーキンググループ」を設置し、個人情報保護委員会事務局の協力の下、大学や企業の研究者や弁護士らとともに改正個人情報保護法で新たに導入される匿名加工情報に関する技術的な検討を行ってきましたが、2月21日、「匿名加工情報の適正な加工の方法に関する報告書 2017年2月21日版」を公表しました。 本年5月末に施行される改正個人情報保護法(平成27年〈2015年〉9月成立)では、現行の個人情報保護法に対して数多くの変更・拡充がなされます。その中でも最も注目されているのは、「匿名加工情報」と呼ばれる、個人情報に適正な加工を施すなどの一定の要件の下、本人の同意を得ることなく第三者に提供可能なデータ類型・規定です。この「匿名加工情報」は個人情報の保護と利活用を
Recommended reading Summary What Is Affected Immediate Mitigation Prevention Interesting, but once you’ve mitigated How It Works Why It Happened History of httpoxy CVEs A CGI application vulnerability (in 2016) for PHP, Go, Python and others httpoxy is a set of vulnerabilities that affect application code running in CGI, or CGI-like environments. It comes down to a simple namespace conflict: RFC 3
よく訓練されたアップル信者、都元です。Webアプリケーションを書くにあたって、誰でも自由に全てのリクエストが呼べるなんていうユルユルな要件ってのはほとんど無いと思います。誰がからのアクセスかが特定できて、そのユーザが適切な権限を持っている場合に限り、アクセスが成功する必要があるでしょう。 Spring Securityの導入 v14.0 Spring Frameworkの世界の中で認証と認可を司るコンポーネントが Spring security です。 Spring BootプロジェクトでSpring securityを使うには、まずは依存ライブラリとして spring-boot-starter-security を追加します。え、まさかこれだけ? → GitHub diff さぁさぁ、起動してみましょう。(以降、タイトルに示したバージョンのブランチをcheckoutして実行できるようにし
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
昔、WindowsNT4の頃に、ひどい目にあったIT技術者はWindowsを感情的に嫌うひとが多いです。その反動からか、BSDやLinuxの安全思考は力強いブランドを得て、BSDはMacのベースOSとして活用され、LinuxはサーバOSとして世界中を席捲する流れになりました。 ところが最近、Linuxや周辺を取り巻くソフトウエアのセキュリティ問題が大きくクローズアップされています。 オープンソースは多くの人の目に触れるから脆弱性が見つかってもすぐに修正されるという問題は、最近新たな価値観に変わりつつあるように思えます。 ・人間は必ずバグを作りこむ ・人は間違ってないと信頼しているものには、驚くほど関心を持たない。 ・メジャーなソフトウエアでもびっくりするような不具合があった。 結局のところ、「枯れたソフトウエア」が実は枯れていなかったというのが流れで、セキュリティ問題は、全ての時計の針を最
Hadoop Conference Japan 2014で発表したApache Sentryの紹介ですRead less
AWS EC2 Linuxを利用する際、SSHでログインして利用することになりますが、 端末の所属するネットワークからAWS VPCに対するVPN等を利用できない場合、 EC2インスタンスのSSH(TCP 22)ポートをインターネットに公開することになります。 このようなケースに考えられるリスクと回避方法について考えていきます。 リスク AWS EC2 Linuxに設定したSecurity Groupで、下記のようにSSHをAnywhere(0.0.0.0/0)に対して開放したとします。 このような場合、どういったリスクが考えられるでしょうか。 もちろん、EC2 Linuxに対するSSHログインにはキーペアが必要になるので、誰からでもログインできる状態ではありません。 ですが、万一キーペアが流出してしまった場合、クラッキングを受けた場合、SSHに脆弱性が発見された場合など、 様々なリスクを
今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い話しなので、もう少し詳しく書いておきます。 Javaで、JavaBeansのプロパティにアクセスする場合、 PropertyDescriptor[] descriptors = Introspector.getBeanInfo(クラス).getPropertyDescriptors();で取得できるPropertyDescriptorを使うことがほとんどです。この中に、classプロパティは含まれます。 ここまでは良くて、ネストしたリクエストパラメータ(class.classLoader.xxxなど)をJavaBeansにセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題なのです。 Seasar2(BeanDesc)では、
StartCom CA is closed since Jan. 1st, 2018, it doesn't issue any new certificate from StartCom name roots. If you want to buy trusted SSL certificate and code signing certificate, please visit https://store.wotrus.com. If you want to apply free email certificate, please visit https://www.mesign.com to download MeSign APP to get free email certificate automatically and send encrypted email automati
AWS Weekly Roundup – AWS AppSync, AWS CodePipeline, Events and More – August 21, 2023 In a few days, I will board a plane towards the south. My tour around Latin America starts. But I won’t be alone in this adventure, you can find some other News Blog authors, like Jeff or Seb, speaking at AWS Community Days and local events in Peru, Argentina, Chile, and Uruguay. If you see […] New – Amazon EC2 H
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く