グーグル,クッキーの安全強化のためSSLを変更
あるセキュリティ研究者が,公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは,セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際,ハッカーが容易にこの通信を傍受可能にする恐れがある。FacebookやYahoo Mail,Hotmailなどのサイトはいまだ脆弱だという。 Riverbed Technologyでリバースエンジニアリングと開発を担当しているMike Perry氏は1年前,ウェブサイトがSecure Sockets Layer(SSL)プロトコルを実装する方法に共通の脆弱性があることをBugTraqメーリングリストで発表した。SSLプロトコルはウェブ閲覧時のデータを守るための仕組み。同氏によると,多くのウェブサイトでは,SSLを使ってデータを暗号化しているのはログインの段階でだけだ
妄想プログラミング道 続・ホワイトリストとブラックリスト
早速、大垣さんと徳丸さんから前回のエントリに対するフォローをいただきました。 ・ホワイトリストとブラックリスト - Proactiveセキュリティ対策 vs. Reactiveセキュリティ対策 ・今こそXSS対策についてまとめよう お二人ともお忙しい中ありがとうございます。 私の感じていた疑問については徳丸さんが冒頭ですっきりと解決して下さいました。 ワイルドカードや正規表現を使用したブラック(ホワイト)リスト作成については別件で色々と考えている事があるので、それはまた別の機会に。 それにしても、本当にセキュリティを意識したWebアプリケーションの作成は面倒ですね。 『個人的に使っているものだから…』という理由で手を抜く事が許されないのがつくづく厄介です。 どこにもURLをリンクしていなくても、アクセス制御してなければ公開状態のわけで、つまり攻撃対象になってしまう可能性があるのですから。
米TIME誌も「世界一クール」と絶賛!アフリカで売れまくる住友化学の“蚊帳”
植民地と宗主国の関係にあった歴史的経緯からアフリカ各地に多くの拠点や情報網を持つ欧州の企業と比べて、日本企業のアフリカ進出は遅れている。そんななかで、着実にアフリカでの存在感を上げているのは住友化学だ。 その原動力となっているのが、マラリアを媒介する蚊から身を守るために、防虫剤を練りこんだ同社の蚊帳「オリセットネット」である。 世界で毎年5億人がマラリアを発症し、100万人以上が命を落としているとされるが、その約9割はアフリカのサハラ砂漠以南の地域、サブサハラで発生している。 防虫剤のスローリリースができるオリセットネットは、洗濯しながら5年間の使用に耐えるとあって、マラリア対策向けに需要が一気に拡大。2004年には、米タイム誌の「世界で一番クールな技術」にも選ばれた。現地企業と合弁企業で進出しているタンザニアでの生産量は、年間1000万張りに達している。 住友化学では、蚊帳事業はもっぱら
第3回:パスワードの決まりが厳しすぎる
あなたの会社の「エンドユーザー」は,自社のセキュリティ対策に様々な不満や疑問を抱えている。エンドユーザーの声に,情報システム部門はどのように応えていけば良いだろうか。セキュリティ・コンサルタントの濱本常義氏と共に,その答えを考えてみよう。 エンドユーザーの不満 (不満その1) 私の職場では,三カ月に一度,パソコンのログイン・パスワードを変更する決まりがあります。一度設定した番号は再度使えないし,誕生日や電話番号など見破られやすいものも禁止。情報管理の担当者が毎回チェックに回るため,手を抜けません。最近は次第に覚えやすいパスワードがなくなってきて,困っています。 (不満その2) 我が社では,パスワードを求められる回数がとにかく多いことが不満です。パソコンにログインするときはもちろんのこと,どのソフトを使うにも,起動時に毎回パスワードを入力しなくてはなりません。ある程度の対策は必要ですが,ここ
Railsの脆弱性: XML実体爆発攻撃 | 水無月ばけらのえび日記
RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法のようですね。掲げられているサンプルコードは短いですが、実体参照を展開するとデータは30メガバイトにもなります。展開の処理方法によっては、メモリを食い尽くしてしまうのでしょう。 外部からXMLデータのPOSTを受け付けるようなサイトは注意……と言いたいところですが、XMLデータのPOSTを受け付けないはずの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
軍オタが好きな名言、名ゼリフ 3
http://www.kt.rim.or.jp/~kbk/zakkicho/08/zakkicho0808c.html
