タグ

ipaに関するnoplansのブックマーク (5)

  • IPAから「クリックジャッキング」に関するレポート出ました

    Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては従来詳しい解説がありませんでしたが、この3月26日にIPAから「クリックジャッキング」に関するレポートが公開されました。 このレポートから、クリックジャッキングのイメージを示す図4を引用します。 サイトAが攻撃対象のサイト、悪意のあるページは罠にな

    IPAから「クリックジャッキング」に関するレポート出ました
    noplans
    noplans 2013/04/06
    "IPAのクリックジャッキングに関するレポートには、X-FRAME-OPTIONSの詳しい説明の他、CSP(Content Security Policy)や、JavaScriptによる対策方法も示しています"
  • Rubyは業務システムにも十分な適用性を備える――IPA調査報告書 | OSDN Magazine

    情報処理推進機構(IPA)は2009年9月7日、Webアプリケーションで採用が進むRubyについて、自治体や企業などの業務システム開発への適用性を評価した「自治体・企業等の情報システムへのRuby適用可能性に関する調査」を公開した。業務システム分野へも十分な適用性を備えていることを確認したという。 調査報告書では、業務システムなどに求められる機能要件10項目(ファイル・出入力、テキスト、ネットワーク、データベースなど)、非機能要件45項目(保守プロセス、運用プロセスなど)について評価。併せて、実システムを用いたパフォーマンス評価とスケーラビリティ評価、Ruby活用で先進的な取り組みを行っている企業・自治体へのヒアリングも実施した。 その結果、Rubyは「性能や開発技術の面においては十分に実力を持ったものであって、業務システムへの適用についても、おおむね問題は無い、あるいは回避・代替の方法は

    Rubyは業務システムにも十分な適用性を備える――IPA調査報告書 | OSDN Magazine
  • 「MD5 の安全性の限界に関する調査研究」に関する報告書 | アーカイブ | IPA 独立行政法人 情報処理推進機構

    ページの情報は2008年7月時点のものです。 1991 年に開発され、現在でも広く用いられているMD5 (Message Digest 5)と呼ばれるハッシュ関数が、解析技術の進歩により安全性の低下が指摘されていることから、MD5 を利用する上での限界を調査しました。特に、電子メールシステムでのセキュリティ策として用いられているAPOP (Authenticated Post Office Protocol) において、パスワード解読の可否・強度を実証・確認するとともに、当面の対応策検討とその有効性の確認を行いました。 概要 調査研究では、MD5 のハッシュ値から元の情報を特定する手法に関する再確認、並びに実環境での検証を行い、MD5 を利用する上での限界を明らかにしました。 調査研究の成果 APOP 方式を用いる電子メールシステムとAPOP の脆弱性を突く攻撃サーバーを構築し、実際と

    「MD5 の安全性の限界に関する調査研究」に関する報告書 | アーカイブ | IPA 独立行政法人 情報処理推進機構
  • 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

    「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

    情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
    noplans
    noplans 2008/03/16
    『安全なウェブサイトの作り方 改訂第3版』
  • その時、何をなすべきか--IPA、「情報漏えい発生時の対応ポイント集」を公開

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は8月30日、情報漏洩事故が発生した時に参考となる小冊子「情報漏えい発生時の対応ポイント集(PDF形式)」を公開した。 この小冊子は、情報漏洩インシデント対応マニュアルを整備していない中小企業などにおいて、情報漏洩事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを、経営者をはじめとする対応チームのスタッフが短時間に理解し、速やかに適切な対応ができるように参考書として活用できるようまとめたもの。 情報漏洩インシデント対応における基作業ステップや情報共有、発表などの共通的な事項に関するノウハウと、情報漏洩タイプ別の対応作業内容や留意点のノウハウを

    その時、何をなすべきか--IPA、「情報漏えい発生時の対応ポイント集」を公開
  • 1