PSN Hacked――問題の根はどこに?
史上最大規模の個人情報漏えい事件 4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」(PSN)で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。 今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。 記者会見によって明らかになったのは、以下のような事柄でした。 漏えいした個人情報の内容 システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた 各サーバにはファイアウォールが設置されていた アプリケーションサーバの脆弱性を突かれた アプリケーションサーバに攻撃用ツールが置かれた アプリケーションサーバの攻撃用ツールからデータベースサーバ
4. Webアプリケーションの機能別に見るセキュリティバグ (4.3 表示処理に伴う問題) - @kyanny's blog
この本最初のハイライト、ってところかな。線引き始めるとキーワードだけじゃなくてそこらじゅう真っ赤に塗りつぶしそう。 XSS 基本編 概要 サイト利用者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキーを盗まれる(なりすまし) ブラウザ上でスクリプトを実行させられ、利用者の権限で Web アプリケーションの機能を悪用される ニセの入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる XSS脆弱性の対策は、表示の際に、HTMLで特殊な意味を持つ記号文字(メタ文字)をエスケープすることです。 攻撃手法 クッキー値の読み出し(なりすまし) JavaScript による攻撃 画面の書き換え(フィッシング) 具体的なシナリオ(クッキー値の読み出し) 罠サイトの iframe 内で脆弱なサイトが表示される(スタイル当てて隠せるのでパッと見わからない) 脆弱なサイトの XSS
プレス発表 ウェブサイトの脆弱性対策に関する注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトに対する攻撃事件が目立っていることを受け、ウェブサイト運営者に広く対策の徹底を呼びかけるため、注意喚起を発することとしました。 近年、ウェブサイトを用いたサービスが増加、多様化しており、企業活動の中核として位置づけられているものも少なくありません。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所、電話番号などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われています。他方、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきています。これらの事件の中には、ウェブサイトの脆弱(ぜいじゃく)性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在します。例えば、2010年には、アウトドア用品のサ
「アニオタが非オタの彼女にアニメ世界を軽く紹介するための10本」が味わい深い - ARTIFACT@はてブロ
アニオタが非オタの彼女にアニメ世界を軽く紹介するための10本 この匿名ダイアリーの記事、最初は軽く笑って読んでいたのだが、作品ごとの解説を読んでいたら、笑いがどうにもひきつりそうになった。各作品ごとに彼女と何を話したいのかが書いてあるのだが、それがすごいねっちりしているのだ。 プラネテス(谷口悟朗監督) ある種のSFアニメオタが持ってる宇宙への憧憬と、JAXA監修のオタ的な考証へのこだわりを 彼女に紹介するという意味ではいいなと思うのと、それに加えていかにも谷口悟朗な 「童貞的なださカッコよさ」を体現するハチマキ 「童貞的に好みな女」を体現するタナベ の二人をはじめとして、オタ好きのするキャラを世界にちりばめているのが、紹介してみたい理由。 カウボーイビバップ(渡辺信一郎監督) たぶんこれを見た彼女は「ルパンIII世だよね」と言ってくれるかもしれないが、そこが狙いといえば狙い。 この系譜の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
