便利ならセキュリティは犠牲にするネットユーザー、Gartner調べ
ネットを使った詐欺がこれだけ横行していても、ユーザーはセキュリティのために利便性を犠牲にすることを好まない――。米Gartnerが実施した意識調査からこのような傾向が浮かび上がった。 調査は米国でネットを利用している成人約4000人を対象に、パスワード管理と利用の実態について尋ねた。その結果、回答者の3分の2はログインが必要なすべてのWebサイトで1もしくは2種類のパスワードを使い回していた。 大部分が、今後もこうしたパスワードの使い方を変更する意思はなく、パスワード管理のためのソフトウェアやハードウェアを使うことを考えていないことも判明した。OpenIDなどのID管理フレームワークに対するニーズもごくわずかだった。 ネット詐欺の横行にもかかわらず、ユーザーがセキュリティよりも利便性を優先する傾向は、前年の調査と変わっていないとGartnerは分析。Webサイトを運営する側は、ユーザーにそ
[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)
Firefox2でもhttponlyが使えるという話を耳にしました。 httpOnly - Firefox Add-ons*1 httponlyがいよいよ普及するか? というのでネタにしてみます。 なお、この日記は、WinXP+IE6SP2環境を前提として書きました。 はじめに httponlyは、XSS脆弱性がある状況においても、cookieを窃取されないようにすることを狙ったIEの独自機能です。 MSDN - Mitigating Cross-site Scripting With HTTP-only Cookies この機能を有効にするためには、発行するcookieにhttponly属性を付けます。 Set-Cookie: key=value; domain=example.com; HttpOnly httponly属性が付けられたcookieは、JavaScriptのdocume
![[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)](https://cdn-ak-scissors.b.st-hatena.com/image/square/e8a0aea5d375a69b5b38062b6dbabb4cf556055e/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711097230%2F1548045809)
ActiveServerPages時代にはhashもSQLインジェクションもすげーメジャーというわけではなかった。
かくあるべしの批判は簡単にできるが、ちょっと待って。 このエントリーの目的は、例えば受託をやってる人が、改めて過去を振り返って、もう関係が切れてしまったクライアントもできることなら助けてあげてください、というエントリーです。 SQLインジェクション絡みで、Active Server Pagesで動いているサイトが結構狙い打ちにあって、重要な顧客情報が流出したりしています。 こういうネガティブな改修話は瑕疵の問題を持ち出されたりして、ややこしいことになるケースもあるハズ。だから作った側としては、もし気になるところがあっても、余計なことは言いたくないって気持ちはあると思う。 「何故そんなことも知らなかったのか?」 と言われると返す言葉もなくなる。これを一方的に言われてしまい、例えば調査やシステム改修に2ヶ月もの期間がかかる見積もりを一方的に負わなくてはいけないとするならば、正直、このことを黙っ
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
MySpace装う偽ページが出現、悪質ファイルを自動インストール
米大手ソーシャルネットワーキングサービス(SNS)のMySpace.comを狙った新手のフィッシング詐欺が見つかったと、セキュリティ企業のTrend Microが6月9日付けのブログで伝えた。 この手口ではスパムメールに記載されたリンクをユーザーにクリックさせ、偽のMySpaceログインページに誘導する。このページで「MySpaceプロフィールオブジェクトエラー」が発生したというメッセージをポップアップ表示し、新バージョンのMySpaceプロフィールオブジェクトをインストールするよう促す。 ユーザーが「continue」(続ける)ボタンを押すと、悪質なファイルがダウンロードされ、トロイの木馬とIRCボットが自動的にインストールされる。 ページを閉じようとしてもファイルのダウンロードが完了するまで閉じることはできず、プログラムを終了させるためにはタスクマネージャを使う必要がある。 過去のセキ
OpenIDとセキュリティ――経路の安全性をどう担保するか
OpenIDについて少しづつ理解してきたつもりなのですが、OpenIDを使うに当たってセキュリティ上の課題や問題などについてまだ理解が十分でなく、少し心配です。OpenIDのセキュリティについてその仕組みのほか、推奨される対策などがあれば教えてください。 この話題はなかなか難しい話で、少し説明が長くなりそうなので複数回にわたって取り扱いたいと思います。多少難しい解説でも構わない方は、わたしが以前@ITで書いたOpenID のセキュリティに関する記事も参考にして参照ください。 OpenIDのセキュリティを語る上で最も重要な点 まずOpenID認証プロトコルで定義されているセキュリティに関連する登場人物をあらためて復習しましょう。それぞれの用語の理解が十分でないとお感じの場合は、過去の「ZIGOROuのOpenID Short Clinic」をさっと読んでおくとよいでしょう。 End User
Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
akihiro kamijo: 来月 (2008/4) の Flash Player セキュリティアップデート
Flash Player のセキュリティアップデートが来月予定されている旨の情報が US のサイトに公開されました。(Preparing for the Flash Player 9 April 2008 Security Update) このアップデートは純粋にセキュリティ改善を目的としたもので、新機能は一切ありません。しかし、デフォルトポリシーの変更などが行われるため、既存のコンテンツの中には動かなくなるものが出てくることも予想されます。 今回、事前に情報が公開されたのは、この変更に事前に準備する期間を確保するためです。以下、変更点の概要を説明しますので、影響を受けると思われるコンテンツがある場合は対応をご検討ください。 1. javascript のプロトコルとしての利用 これまでは loadMovie() メソッド等と使用して javascript を呼び出すことが可能でした。今度
第4回 サーバー側で管理する「セッション変数」に要注意 | 日経 xTECH(クロステック)
最近になってセッション変数を使用したアプリケーションを見かけるケースが増えてきている。セッション変数とは,セッションIDとひも付けてサーバー側に格納する変数のことである。開発環境により実装の仕方は様々だが,ログイン成功時に保存される認証情報もセッション変数の一つである。 セッション変数をサーバーに格納すると,アプリケーションはセッションが有効な間,変数の値を再利用できる。これにより,例えばクライアントから送信された大量の入力項目をサーバー上で保持しながら複数の画面を遷移するようなアプリケーションを比較的容易に,かつ低コストで実装できるようになる。 筆者がアプリケーションの開発現場にいたころは,サーバー・リソースを圧迫するという理由から使用を控えていることが多かったが,マシン・スペックの向上や,アプリケーションに要求される機能の複雑さの向上といった背景により事情が変わってきているようだ。 実
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Groups
Adobe Flash Player の未修正の脆弱性に関する注意喚起