ネットの閲覧履歴を記録する「クッキー」がサイバー攻撃に悪用され始めた。社員になりすまして企業のシステムに不正アクセスし、機密データを抜き出した事例も確認された。盗み取られたクッキー情報90万件超を売る闇サイトもあり、今後も被害が広がる恐れがある。企業などは、ログイン時に複数の端末や生体認証を使う「2要素認証」の導入など対策を急ぐ必要がある。あるスウェーデンのパソコンに入っている400件超のクッ
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。 字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
「Grade up(グレードアップ)」では、SSTに関わるみなさまの声と視点を交えながら SSTの想いや取り組みをお伝えします 「攻撃は防げない」ことを前提として、問題を早期発見するため、開発段階・リリース前後の段階ごとに「脆弱性を埋め込まない・取り除く」対策を講じる。「Yahoo! JAPAN Tech Blog」で公表されている「ヤフーのサイバーセキュリティに対する考えと取り組み」では、開発現場における行動規範やルールだけではなく、組織体制のあり方にまで踏み込んで明文化されている。 数々の大規模インシデントという過去の苦い経験をきっかけにヤフー株式会社(以下、ヤフー)は、サイバーセキュリティの重要性に対する認識を大きく転換した。その結果生まれたのが「サービスを開発する際、ユーザーの安心・安全のためにセキュリティを必ず考慮する」「セキュリティ対策には、企業トップを中心として、全社で意思統
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
こんにちは。 ご機嫌いかがでしょうか。 こちらは2019年06月12〜14日に行われたAWS Summit Tokyo 2019のセッションレポートです。 6月13日 15:00-15:40 AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント― セッション概要 こんな話 自社のセキュリティポリシーに合わないとお悩みへのヒント AWSって実際にしているセキュリティ管理は? グローバルスタンダード対策への悩み NIST Cybersecurity Framwwork ホワイトペーパー出ました 自社のデータがAWSから侵害された場合、AWSの対応は何? NIST CSF 世界の政府、産業界、組織で使われている サイバーセキュリティの推奨ベースライン ガートナー、2020年までに米国の民間セクターでの利用が50%に達する IPAのサイトから日本語訳をダ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く