APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows Vista/XP, Mac OS X and Linux
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on o
セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか?
(Last Updated On: 2018年8月13日)一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。 その間違いとは 意図の取り違い – 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足 です。(※0) 徳丸さんは非常勤とは言え、国の出先機関の研究員であるし、その出先機関は職務放棄とも言える文書(「例えば、PHPを使用しない」と勧める文書)を公開している(いた?)のでしっかり反論しておく必用がありますね。IPAのあの文書は職務放棄と言える文書だと思っています。これについても後で意見を述べます。 意図の取り違い – 誤読 最初の間違いは私のブログのエントリ「何故かあたり前にならない文字エンコーディングバリデーション」に対する理解です。特にPHPユーザに
Hacker Says iPhone 3GS Encryption Is 'Useless' for Businesses
Hacker Says iPhone 3GS Encryption Is 'Useless' for Businesses Updated 07/24/09, 9 a.m. PDT: Zdziarski taped videos demonstrating iPhone 3GS disk extraction, as well as removal of PIN and backup encryption passcodes. Both are embedded below the jump. Apple claims that hundreds of thousands of iPhones are being used by corporations and government agencies. What it won’t tell you is that the supposed
「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定
無線LANで使われている暗号方式・WEPを「一瞬で解読する」という方法を考案・実証したと神戸大学と広島大学の研究者グループが発表した。 これまでにもWEPを1分足らずで破る方法が報告されているが、新手法は一般的な環境で簡単に解読することが可能といい、解読プログラムは比較的性能の低いPCでも実行できるという。グループの森井昌克神戸大学教授「WEPはまったく暗号化方式としては意味をなさない」として、早期にWPA/WPA2に移行するよう呼び掛けている。 このほど開かれた「コンピュータセキュリティシンポジウム 2008(CSS 2008)で発表した。 WEPを解読する手法としては、ダルムシュタット工科大学のグループが昨年4月、1分足らずで解読する方法を公表。ただ、この手法ではARP(Address Resolution Protocol)パケットを4万パケット以上集める必要があるが、現実的には難し
不正アクセス可能な企業サイトは41%――セキュリティ診断結果
個人情報などの重要情報に不正アクセスできるサイトは41%――NRIセキュアテクノロジーズは7月28日、昨年度中に手がけた企業サイトのセキュリティ診断結果を発表した。 セキュリティ診断は、Webサイトのシステムの安全性を診断する同社のサービス。昨年4月1日から今年3月31日までに、48社・169サイト(PC・携帯サイトを含む)を診断した。 診断したサイトを運営する企業の内訳は、金融業が51%、情報通信が26%、サービス業が11%、製造業が5%、流通業が2%、その他が5%。 41%は不正アクセス可能、30%は情報漏えいの可能性あり パスワードや個人情報、口座残高や注文履歴など、正規のユーザー以外はアクセスが制限されるべき「重要情報」に不正アクセスできるWebサイトは41%あった。重要情報の漏えいにつながる可能性があるサイトは30%、危険度の高い問題が発見されなかったサイトは29%だった。 セキ
WebLogicに極めて深刻な脆弱性、Oracleが異例のアラート
危険度は最も高いCVSS 10.0。四半期パッチ公開直後に、脆弱性情報とそれを突いた悪用コードが公開された。 米Oracleは7月28日、WebLogicの脆弱性に関する臨時アラートを公開した。この問題を突いた悪用コードが出回っているとして、全ユーザーに対し早急に回避策を取るよう促している。 脆弱性はWebLogic(旧BEA WebLogic)のApacheプラグインに存在する。Oracleが臨時アラートを出すのは、2005年1月に四半期ごとの定例アップデートを開始して以来、初めて。7月15日の四半期パッチ公開直後に、今回の脆弱性の内容とこれを突いた悪用コードが公開フォーラムに掲載されたため、臨時アラートを出さざるを得なくなったとしている。 影響を受けるのはWebLogic ServerとWebLogic Express。脆弱性は認証を経ずにリモートで悪用することが可能で、システムを制御
The Metasploit Project by H.D. Moore
The world’s most used penetration testing framework Knowledge is power, especially when it’s shared. A collaboration between the open source community and Rapid7, Metasploit helps security teams do more than just verify vulnerabilities, manage security assessments, and improve security awareness; it empowers and arms defenders to always stay one step (or two) ahead of the game.
Meet ratproxy, our passive web security assessment tool
The latest news and insights from Google on security and safety on the Internet Anonymous said... This comment has been removed by a blog administrator. July 7, 2008 at 12:13 PM Unknown said... Spammer >:-@ July 8, 2008 at 9:24 AM Dinesh Venkatesan said... This is an excellent initiative. Hats off!! July 15, 2008 at 4:54 AM Tomcat Sabre said... Great product. WHere can I find information on the cu
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TJX suspect indicted in Heartland, Hannaford breaches
Forums
cloudiquity - Cloudiquity
IT news, careers, business technology, reviews
Google Code Archive - Long-term storage for Google Code Project Hosting.
http://ap.google.com/article/ALeqM5hcOMj8ezlUvmXomCZBsTABTvPOCAD91L9DPO0
'Phishers'hit Salesforce.com
IT news, careers, business technology, reviews
OpenSSL: Multiple vulnerabilities (GLSA 200710-06) — Gentoo security