パスワードの管理と注意
1.4 パスワードの管理と注意 不正アクセスを目論むクラッカがまず狙うのがパスワードです。パスワードを奪われれば、侵入やなりすまし、メール閲覧やデータ改竄を許してしまいます。私たちは、どのようにパスワードを取り扱うべきなのでしょうか。 認証システムの技術的対策と同時に、使用者が心がけるべきパスワードの取扱いには下記が推奨されています。 定期的に変更する 類推されやすいものは避ける アカウント作成時に付与されたパスワードは使用しない 可能な限り文字列を長くする(8文字以上推奨) 「定期的に変更する」意義ですが、パスワード奪取または解析に成功したクラッカは、所有者に知られないようシステムを使用し続けていることが通例であり、定期的にパスワードを変更することで、奪取されたパスワードを無効にする狙いがあります。不正アクセス被害には目に見えないものが多いため、万が一に備えた対策の1つです。 「類推され
最近のSQLインジェクション攻撃で150万ページ以上が影響を受ける
最近のSQLインジェクション攻撃の波の影響を和らげるため、また影響を受けたページの概数についての透明度を高めるために、Shadowserver Foundationは正規のサイトにSQLインジェクション攻撃を行うのに使われているすべての悪質なドメインのリストを保守し始めた。現在のところ、悪質なドメインの数は50以上あり、それらのドメインに影響を受けたページの数は、全部で150万ページ強に上る。 もし特に理由がなければ、それらのドメインを避けるようにすべきであることは言うまでもない。Shadowserverは発表で次のように述べている。 以下に示すのは、大量のSQLインジェクション攻撃に使われ、悪意のあるJavaScriptをウェブサイトに挿入しようとするドメインのリストだ。われわれはまた、感染しているページの概数も資料に含めた(Googleを利用)。これらの数は時間と共に減っていることに注
Zoho Writerのセキュリティホールが見せる、Web 2.0世界の問題
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-05-20 19:16 CNET News.comのMartin LaMonica氏は最近、Zoho Writerに情報漏洩の脆弱性があることを偶然発見した。このブラウザベースのワープロソフトは、Web 2.0の早期導入者には有名なものだ。 詳細は次のようになっている。 米国時間5月19日の朝、私はZoho Writerのページに行き、「soccer」を検索した。検索結果には私の2件の文書が含まれていたが、その他に私の知らない人が作成した7件の文書も見つかった。 私はこの問題をZohoの技術エバンジェリストに報告し、彼はその問題を迅速に同社の技術チームに伝えた。何回かやりとりが行われた後、Zohoのチームはバグを発見し、修正した。 ・・・Zohoの名誉のために言えば、同社の人たちは謝罪
14種類のセキュリティ・ホールを攻撃できる「Tornado」
最近,Web関連のセキュリティ・ホールを突く新たな攻撃パッケージ「Tornado」を受け取った。このパッケージは,デフォルトで14個のぜい弱性を悪用できる。統計を見られるページや管理者用のページも備えている。もっとも,このパッケージが大成功しているのは,その巧みな潜伏方法にあるようだ。 まず,Tornadoパッケージの中身を詳しくみてみよう。ユーザーがTornadoの管理コントロール・パネルにログインすると,以下のような統計ページが現れる。この統計ページには,攻撃の実行状況が表示される。同パッケージにおびき寄せられた訪問者の数や,そのうち実際に被害を受けたユーザーの数などが,OSやWebブラウザの種類ごとに詳しく示される。 トラフィックに応じた処理も指定できる。以下に示すのは,繰り返しアクセスに関するドロップダウン・メニューである。通常,エクスプロイトのパッケージは,一つのIPアドレスに対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
中国語サイト狙うSQLインジェクション攻撃、Google検索で32万件ヒット
