WebサーバーにSSLの証明書が正しくインストールされているか確認する
解説 例えば個人情報の登録を必要とするWebサイトでは、盗聴やなりすましなどの攻撃を防ぐため、SSLによる通信路の暗号化が求められる。それにはWebサーバの出所を証明するデジタル証明書(以下、サーバ証明書)を証明機関(CA)から取得し、サーバにインストールする必要がある。 ただ、この作業は設定項目も多ければ手順もそれなりに複雑なので、どこかで失敗する可能性は否定できない。もしサーバ証明書の取得やインストールに失敗すると、SSLを必要とするWebページをユーザーが閲覧した際にエラーが表示されてしまう。SSLを必要とするような、信頼を求められるサイトでこのようなエラーはあってはならないものだろう。 サーバ証明書のインストールに失敗しているサイトのエラー表示例 これは、わざと誤ったサーバ証明書をインストールしたWebサイトをInternet Explorer(IE)で開いたときの例。IE以外のW
開発者が知らないと損するAndroid 4.0の新機能44選
NFC・Wi-Fiなど端末間共有機能 【1】NFCでデータを共有する「Androidビーム」 「Androidビーム」は、NFC対応デバイス間で共有を行うための機能です。ユーザー同士が2つのNFC対応のデバイスを接触することで簡単に、お気に入りアプリ、コンタクト、音楽、動画など、ほとんどのコンテンツを交換可能にします。デバイス同士が数センチ範囲内にあると、システムはNFCの接続を設定して共有のためのUIを表示し、ユーザーは画面をタッチすることで共有が行えます。 例えば、ユーザーは連絡先を交換したり、マルチプレイゲームを開始したり、チャットやビデオ通話に参加したり、写真や動画などを共有したりできます。アプリを共有する場合、Androidマーケットのアプリ詳細ページへのリンクを送ります。リンクが送られた端末上のマーケットアプリは詳細ページを起動し、ユーザーはアプリを簡単にダウンロードできます。
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
ケータイWebの今後を安全に保つには
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 前回では、URLにセッションIDを埋め込むことの問題点を指摘した上で、今後はできるだけケータイでもCookieを使うことを提案しました。それを受けて今回は、前半で、ケータイWebでCookieを使う際の注意点について説明します。 そして後半では、連載の終わりに当たり、スマートフォンが普及しつつある状況下でのケータイWebの今後について説明します。 ケータイWebにおけるCookieは「取り扱い注意」 これまで説明したように、KDDIとソフトバンクのケータイでは従来からCookieが利用でき、NTTドコモの端末でも2009年夏モ
IE9でゾーン情報を確認する - @IT
Internet Explorer 9(以下IE9)ではなるべく画面表示がシンプルになるように、デザインを一新している。そのため、デフォルトではステータス・バーが画面最下部に表示されなくなった。従来のIEのステータス・バーでは、ズーム倍率の表示や、セキュリティ関係の状態表示(Cookieの状態や、プライバシー・レポート、InPrivate状態など)が表示されるほか、現在表示しているサイトの「ゾーン状態」が表示されている。 ゾーンとは、「インターネット ゾーン」「ローカル イントラネット ゾーン」「信頼済みサイト」「制限付きサイト」という分類を表す。ゾーンごとに異なるセキュリティ設定を適用することにより、例えばイントラネットでは制限なくActiveXコントロールが利用できるが、インターネット・ゾーンの場合は利用できる機能を厳しく制限して安全性を高める、といった使い分けが可能になる(TIPS「
JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
川口、官房長官就任 皆さんこんにちは、川口です。先月からセキュリティ監視センターJSOC(Japan Security Operation Center)のセキュリティアナリストのリーダーの座を後進に譲り、JSOCの官房長官として、JSOCセンター長を補佐するお仕事に就くことになりました。 今回は、そんな私が対応することになった標的型メール攻撃の顛末(てんまつ)を取り上げます。厳密にいうと今回届いたメールは、JSOCにとっては、脅威となり得る「標的型」ではありません。しかし受け取る組織によっては十分標的型メール攻撃となり得る内容ですので、紹介したいと思います。 ある日JSOCに届いた1通の標的型メール 5月のある日、JSOCで仕事をしていたところ、1人のセキュリティアナリストが話しかけてきました。 「サポート窓口に変なメールが来ているぞ。ヤバイと思うので見てほしい」 すぐに確認したところ、
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
2011年4月版 PSNが全部話題を持ってった - @IT
山本洋介山 bogus.jp 2011/5/13 原発の問題と余震はまだまだ続いているものの、計画停電もなし崩しになくなっていき、徐々に落ち着きを取り戻して通常業務に戻りつつあるTwitterのタイムラインです。 セキュリティクラスタでも震災関連の詐欺やフィッシングに関する話題は徐々に減り、大規模な侵入とメジャーなWebアプリの脆弱性についての話題が増えた4月でした。 PSNが侵入を受けて個人情報をごっそり抜かれた件 4月20日、ソニーのPS3やPSPから接続してアプリケーションの購入などを行えるサイト、「プレイステーションネットワーク」(PSN)が攻撃を受けて、停止するという事件が勃発しました。 当初日本では「サイトが停止している」というだけで、それほど大きく取り上げられませんでした。しかし停止期間が伸びるに従って、「ただのサイト停止ではない」という疑問を持つ人が増え、まずは海外のアカウ
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
.NET Frameworkに潜む脆弱性「SMTPコマンド・インジェクション」とその対処法 - @IT
.NETセキュリティ .NET Frameworkに潜む脆弱性「SMTPコマンド・インジェクション」とその対処法 NTTコミュニケーションズ、セキュリティ・オペレーション・センター(SOC) 佐名木 智貴 2011/01/21 JISコードでエンコードされたメールを.NET Frameworkを用いて送信する際には、メール本文の作成にAlternateViewクラス(System.Net.Mail名前空間)を使う(.NET Framework 2.0以降で利用可能)。しかし、このAlternateViewクラスを使ったメール送信機能には、「SMTPコマンド・インジェクション(SMTP Command Injection)」の脆弱(ぜいじゃく)性が潜んでいることが判明したので、その内容と対策を解説する。 なお、本稿の内容は、2011年1月11日にNTTコミュニケーションズが公表した「.NET
元Netscape創業者ら、新ブラウザ「RockMelt」発表 Chromiumベースにソーシャル連携を標準搭載 − @IT
2010/11/08 インターネット黎明期の1994年に初の商用Webブラウザとして登場し、Internet Explorer登場以前には圧倒的なシェアと人気を誇った「Netscape」。その創業者であるマーク・アンドリーセン氏を含むNetscape Communicationsの卒業組が、密かに過去2年に渡って新ブラウザ「RockMelt」(ロックメルト)を開発していたことを明らかにした。 (追記:試用動画を追加しました) 2010年11月8日に公開されたWebページと紹介ビデオによれば、RockMeltは、Facebook、Twitter、YouTubeなどを通じて、メッセージやコンテンツ、URLリンクを知人・友人らと「共有」するWeb上のソーシャルな活動を支援することを最初から考えて設計された“ソーシャルな”Webブラウザだ。一見すると、素のChromium(Google Chrom
ベリサイン、企業リモートアクセスのOTP認証をSaaS的に提供 - @IT
2010/09/08 日本ベリサインは9月7日、企業ネットワークへのリモートアクセス時の認証を強化する「ベリサイン アイデンティティ プロテクション(VIP)エンタープライズ ゲートウェイ」を発表した。ベリサイン側のデータセンターで認証サーバを動かすため、少ない運用負荷とコストで利用できることがメリットになる。 VIP エンタープライズ ゲートウェイは、IDとパスワードだけでなく、ワンタイムパスワードを組み合わせた二要素認証を実現するサービスだ。VPNを介したリモートアクセス時のなりすましを防ぎ、セキュリティを高める。日本ベリサインはこれまでも、Webサービス向けに「VIP オーセンティケーションサービス」というワンタイムパスワードサービスを提供してきたが、新サービスは、この範囲を企業リモートアクセスにも広げるものだ。 一般にワンタイムパスワードを導入する際には、ユーザー企業内に認証サーバ
実録・4大データベースへの直接攻撃
情報の入れ物、データベースは大丈夫ですか 皆さんこんにちは、川口です。そろそろGumblarの話に飽きてきたところでしょうか。今回は以下の4種類のデータベースで、管理用ポートをインターネットにオープンしているとどうなるかについて調べた結果を取り上げます。いずれも管理用ユーザーのパスワードは「脆弱なもの」に設定されています。 Oracle(1521/tcp) SQL Server(1433/tcp) MySQL(3306/tcp) PostgreSQL(5432/tcp) 右側に書いてある番号が管理用ポート番号です。データベースを管理する場合、これらのポートをインターネットに対してオープンにする必要はないはずです。しかし、これらのポートに対して外部から“直接”接続するインシデントが年に数回は発生しています。 このようなインシデントは、大学のネットワークに接続したサーバがほとんどですが、ホステ
「脆弱性根絶なんてできっこない」と嘆く前に
「脆弱性根絶なんてできっこない」と嘆く前に:セキュリティ、そろそろ本音で語らないか(13)(1/3 ページ) 脆弱性は上流工程でつぶせるか 私は最近、多くの時間を割いてプログラムを書いています。本来の性格から来るものか、バグはゼロになりません。この原稿の場合、誤字脱字に相当するでしょうか。この原稿などは編集部でキッチリ見てもらっているので大丈夫だと思いますが、プログラムはお客さまに迷惑をかけるかもしれないので、テストを繰り返してバグをつぶしていきます。 私は性格がそもそもおっちょこちょいな上にずぼらですから、プログラマには最も向いていないのかもしれません。いや、脆弱性を考えると「プログラムを作ってはいけない」といわれそうです。 私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場は
CASが廃止。.NET 4のセキュリティはどうなるのか?(1/2) - @IT
4月12日に米国でのローンチが予定されている.NET Framework 4(以降、.NET 4)では、さまざまな新機能の追加や機能拡張が行われる一方で、廃止されるものもある。その中で最も驚くべきものの1つが、「コード・アクセス・セキュリティ(以降、CAS)を利用したセキュリティ・ポリシー設定の廃止(=デフォルト無効化)」だ。 CASといえば、.NETのランタイム・エンジン「CLR」のセキュリティ機構そのものであり、CLRとは切っても切り離せない機能だ(CASについて詳しくは「解説 インサイド .NET Framework [改訂版]」を参照)。.NET開発をしている人なら、ほとんどの人がCASを知っているだろう。 そんな大事なものが廃止される?! これはいったいどういうことなのか? ●CASが廃止される理由とは? 疑いようもなくCASは、.NET 3.5 SP1までのCLRのセキュリティ
ハロー、goroutine!(1/2)- @IT
第3回 ハロー、goroutine! 赤坂 けい チームWordProgress 2010/1/22 突然登場した新しいプログラミング言語「Go」。その独自性、魅力を余すところなく堪能してみよう(編集部) 2009年末のグーグルの発表以降、世のプログラマの注目を集めているプログラミング言語Go。プログラミング言語のマーケットシェア(普及度合い)の測定結果を毎月公表しているTiobeは、2009年12月からプログラミング言語のシェアの測定対象にGoを算入することとした。 測定結果は2010年1月8日に発表され、Goは約1.25%のシェアを獲得した。その結果、Goは、1年を通してもっともマーケットシェアを伸ばしたプログラミング言語に贈られる「TIOBE Programming Language of Year」を受賞することとなった。 この賞は、C++(2003年)、PHP(2004年)、Ja
プログラマをやって思うこと
これまでは“コンサルタント”としての本音を語ってきた本連載ですが、実は筆者は筋金入りの“プログラマ”。第7回はプログラマ視点でのセキュリティを語ります(編集部) 私、現役プログラマです 私は学生のころからコーディングを行っていて、アルバイトで売上管理プログラムなどを作っていました。当時は容易に入手できる開発環境などもロクになくて、選択肢はBASICか機械語くらいでした。 その後もいろいろな言語でプログラムを書いてきました。タイヤの設計に使う3次元CADのマクロ、NeXT(これ自腹でローン組んで買いました)のアプリケーション、MacintoshでのThinkCなんかも経験しつつ、Windows 3.1とUNIX間のTCP/IP通信プログラムなど、いまから思えばプログラムは趣味の1つなのかもしれません。2008年には、Second LifeのLinden Scriptで書いた動くペットなんかも
シグネチャに頼らず未知の攻撃を検出、FFRが国産対策ソフト - @IT
2009/04/30 フォティーンフォティ技術研究所は5月13日に、近年の高度な攻撃に特化したセキュリティ対策ソフト「FFR yarai」を発表する。パターンファイル(シグネチャ)に依存する代わりに、複数の解析エンジンを組み合わせることにより、従来のウイルス対策ソフトウェアでは対策が困難だったゼロデイ攻撃を検出し、PCを保護することが特徴という。 シグネチャを元にマルウェアを判別する方法は、過去のマスメール型ウイルスの検出には有効だったが、マルウェア自動生成ツールなどを用いて次々に亜種が生成される最近の脅威には対応が困難な上、パフォーマンス低下という問題も避けられない。FFR yaraiは、こうした問題意識を踏まえてフォティーンフォティ技術研究所が一から開発した、国産のセキュリティ対策ソフトだ。 FFR yaraiは、4種類のエンジンを用いて脅威を検出する。1つ目は、システムコールの呼び出
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
