携帯サイト特有の問題も解説、「安全なウェブサイトの作り方」第5版 - @IT
2011/04/06 情報処理推進機構(IPA)は4月6日、Webサイトの開発者や運営者に向け、セキュリティを考慮したWebサイトを作成するための注意点をまとめた資料「安全なウェブサイトの作り方」の改訂第5版を公開した。IPAのWebサイトからダウンロードできる。 「安全なウェブサイトの作り方」は、Webサイトに起因するセキュリティ問題を解決することを目的とした文書で、2006年1月に第1版が公表された。Webサイト/Webアプリケーションの脆弱性の解決策のほか、フィッシング詐欺を助長しないための対策をはじめとするサイト全体の安全性を向上するための取り組み、さらに、ソースコードも含めた実際の失敗例などを紹介している。 過去の版では、クロスサイトスクリプティングやSQLインジェクション、OSインジェクションといった代表的な脆弱性を取り上げ、根本的な解決策や影響低減策についてまとめてきた。第5
無料で十分? 無料ウイルス対策ソフトウェア・カタログ(1/2) - @IT
[運用] 無料で十分? 無料ウイルス対策ソフトウェア・カタログ 1.主な無料ウイルス対策ソフトウェア一覧 デジタルアドバンテージ 小林 章彦 2010/12/16 いまや企業においては、ウイルス対策ソフトウェアの導入を必須にしているところがほとんどなのではないだろうか。しかし個人所有のコンピュータとなると、ウイルス対策ソフトウェアが導入されていないことも少なくない。そのため会社の大事なデータを自宅に持って帰り、それがウイルスに感染したコンピュータによってインターネット上に公開される、といった事件がたびたび起こる。 個人所有のコンピュータに対しては、ウイルス対策ソフトウェアの導入を推奨できても、強制はできない。ソースネクストの「パソコンのウイルス対策に関する意識調査」によると、ウイルス対策ソフトウェアを導入していない人(個人)の33.8%が、「費用が高いから」をその理由として挙げている。これ
SSLサーバー証明書って何を証明しているの?
今回の回答者: 上杉 謙二 日本ベリサイン マーケティング本部 マーケティング部 プロダクトマーケティングチーム シニアプロダクトマネージャ 「SSLサーバー証明書」(以下,証明書)とは,SSL(secure sockets layer)で安全に通信できることを証明する電子証明書で,認証局という組織が発行しています。証明書は,アクセスしてきたWebブラウザに対してWebサーバーが配布します。 認証局は複数あり,日本ベリサインはその一つです。証明書には,WebサーバーとWebブラウザの間で暗号化通信ができるようにすることと,Webサーバーを運営する企業や団体が実在すると証明すること,の二つの機能があります。日本ベリサインでは,後者の“運営企業の実在を証明すること”の審査を特に厳密に行っています。 通常,A社のWebサイトの証明書には,A社の名前が表示されています。ところが,証明書に表示される
安全なパスワードの作り方
McAfee Avert Labs Blog 「Make Your Password Secure」より November 25,2009 Posted by Adam Wosotowsky いかにセキュリティが高度化しようとも,基本は変わらない。安全なパスワードを作り,それを使うことは最も基本的なことの一つだ。パスワードは,パソコンにログオンしたり社内アプリケーションを利用したりする場合だけでなく,あらゆるWebサイトで要求される。現在のネットワークで結びついた世界では,どこに行ってもパスワードが必要だ。 しかし,一体どれほどの人が自分のパスワードの安全性を真剣に考えているだろうか。とても頻繁に利用するものなので,1個のパスワードを繰り返し使い回したくなる。ただし,こんな使い方をしたらお母さんに「ひどい考え」と言われてしまうだろう。今回はパスワードでよく使われる手法をいくつか取り上げ,長
プラグイン脆弱性問題に決め手はあるのか
今回のTipsは、誰もが毎日使っているWebブラウザの「プラグイン」の脆弱性対策です。現在私たちが置かれている現状と、将来の展望を合わせてお伝えします(編集部) 派手なWebサイトの裏にある技術 皆さんこんにちは、飯田です。昨今の豊かなインターネットライフを支えている1つの要素に、動的コンテンツの普及が挙げられると思います。非常に多くのWebページが動的コンテンツを利用し、ユーザーを楽しませ、飽きさせない工夫がなされていると感じています。 私たちのインターネットを取り巻く環境には、動的コンテンツがあふれていることに気付かされます。逆に動きのないWebページは手を抜いているようにすら感じてしまうほどでしょう。動きあるWebページには、人々の興味、好奇心をあおり、そのサイトに長く滞在させることに成功しています。 もちろん、これはビジネスシーンにも当てはめることができます。動的コンテンツを利用す
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
DDoS攻撃への対応:パート1
McAfee Avert Labs Blog 「DDoS Response: Part 1」より September 8,2009 Posted by Francois Paget 分散型サービス拒否(DDoS)攻撃の実行手段には,SYNフラッドやUDPフラッド,ティアドロップ攻撃,Ping of Death,スマーフィング,メール爆弾など様々な方法が存在する。攻撃対象マシンで動いているソフトウエアのぜい弱性を突くこともあれば,対象システムに処理できないほど大量のトラフィックを送りつけることもある。攻撃の対象は,(ネットワーク層,ネットワーク・リンク,終端ホストなどの)ITリソースそのものやリソースの通信経路だ。ボットネットを使うことが多く,オンライン・ギャンブル・サイトから金を脅し取る目的でよく行われる。最近も「Sportingbet Australia」および「Sports Alive
「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
5つのセキュリティ問題を抱える「Flash Player 9」を使い続けますか?
5つのセキュリティ問題を抱える「Flash Player 9」を使い続けますか? 対応済みの「Flash Player 10」がリリース,「Flash Player 9」の次期最新版は11月前半公開予定 最近,ある企業のシステム管理者から『現在使用しているFlash Player 9で,Webサイトを見ている際にパソコンの利用者が意図しない動作をさせられる“クリップボード・アタック”や“クリックジャッキング”という危険なセキュリティ・ホールが発生している聞く。対処方法をアドバイスしてほしい』という相談を受けました。 “クリップボード・アタック”(Clipboard attack)や“クリックジャッキング”(Clickjacking)は,こうした攻撃が指摘された時点の最新版だったFlash Playerバージョン9.0.124.0(2008年4月公開)でも影響を受けます。特に“クリップボード
たった2行でできるWebサーバ防御の「心理戦」 − @IT
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
