出展中の「マンガポスター」をスライドでご覧いただけます。 左右の「<>」マークをクリックしてご覧ください。
パスワード-もっと強くキミを守りたい- : IPA情報処理推進機構
出展中の「マンガポスター」をスライドでご覧いただけます。 左右の「<>」マークをクリックしてご覧ください。
組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!:IPA 独立行政法人 情報処理推進機構
昨日、教育関係の企業において、大量の顧客情報の漏えいが起こったとの報道がありました。報道では、組織の内部情報にアクセスできる社員以外の内部者によって情報が持ち出された可能性があるとされています。 これまでも従業員や委託先社員等の内部者の不正行為による情報窃取等の被害が数多く起こっており、IPAでは、内部不正防止ガイドラインを公表し、対策の呼びかけを行ってきました。内部不正による情報窃取の多くは金銭やビジネス利用等を目的としています。重要な情報を保持する企業・組織は、内部者による不正を防止するための対策の検討や点検を行うことを改めて呼びかけます。 IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、2013年3月に「組織における内部不正防止ガイドライン※1」(以下、ガイドライン)を策定し、公開しています。 ガイドラインでは基本方針や技術的管理、人的管理、物理的管理
IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、
4-2. Perl の危険な関数
Perlには他のプログラムを起動したり,文字列で与えられた式を実行時に解釈実行する機能を持つ関数が用意されている。こうした関数に与える引数は,十分に吟味しないと,悪用されて意図しないコマンドを実行させられる。 Perlには外部プログラムとの連携機能が複数組み込まれている。Perlは連携機能を実現するため内部的にUnixシェルを起動する(注1)。そのため連携機能をユーザ入力データなどの外部から与えられるデータと組み合わせて使用する場合,外部からシェルコマンドを混入され実行されてしまう可能性がある。次の関数はこのような問題につながる注意すべき関数や構文である。 open system, exec, ``(backticks) <>(fileglob),glob C言語などのコンパイル系言語と異なりPerlはスクリプト系言語である。Perlは実行時にプログラムを解釈して実行する。eval
7-7. Unixパス名の安全対策
相対パス記法を悪用したディレクトリトラバーサル攻撃から保護するために,パス名チェックは欠かせない。しかし相対パス記法を仕様上認めるアプリケーションもある。パス名を正規化して,意図するディレクトリ/ファイルを指しているかどうかをチェックしよう。 リスト1のPerl で書かれたサンプルプログラムを見ていただきたい。ファイルを操作するアプリケーションによく見られるコーディング例である。このアプリケーションではデータファイルを「/var/data/」ディレクトリ下に配置し,そのディレクトリ下のファイルへのみアクセスすることを前提としている。1行目はこれをそのまま反映させたコーディングで,データディレクトリ「/var/data/」のパスに,参照しようとしているファイル名$fileを連結して,パス名$filepathを構築している。その後,2行目のsysopen文で$filepathにしたがいデータフ
PKI関連技術に関するコンテンツ
前のページ 目次 次のページ 最終更新日:2002年12月12日 4.3 OCSP モデル 4.3.1 OCSP 概要 OCSP は、オンラインで証明書の失効情報を確認するためのプロトコルであり、RFC2560 に規定されています。証明書利用者(OCSP リクエスタ)は、OCSP レスポンダ(OCSP サーバーとも呼ばれる)に失効情報を問い合わせます。OCSP レスポンダは、問い合わせに対して証明書の状態 について、有効(good)、失効(revoked)、不明(unknown) のいずれかとして返します(図 4-9)。 CA は、OCSP レスポンダの信頼性を保証するために、OCSP レスポンダに対して、証明書を発行します。OCSP レスポンダは、発行された証明書を用いて、証明書利用者への OCSP の応答に電子署名を付与します。 利用者に OCSP レスポンダの場所を通知するために、O
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
