タグ

SecurityとWebに関するryuzi_kambeのブックマーク (33)

  • インターネット美化運動2007

    『インターネット美化運動2007 あなたの参加がネットを変える』 は、平成19年7月4日を以って終了いたしました。 たくさんのアクセス、ありがとうございました。 『国民のための情報セキュリティサイト』では、 引き続き情報セキュリティ対策に役立つ情報をご提供しています。

    ryuzi_kambe
    ryuzi_kambe 2007/06/04
    でもこのリンク集だけのページに○百万とかかかってるかもしれない、だぜ
  • aguse.jp

    © aguse.jp / isquare co.,ltd ,agusenet co.,ltd.

  • IE 7にアドレス・バーを偽装されるセキュリティ・ホール

    デンマークSecuniaは現地時間10月25日,Internet Explorer 7(IE 7)にポップアップ・ウインドウのアドレス・バーを偽装できるセキュリティ・ホールが見つかったことを明らかにした。フィッシング詐欺などに悪用される恐れがあるという。 今回のセキュリティ・ホールは,10月18日に正式版(英語版のみ)がリリースされたIE 7に見つかった。WebページやHTMLメール中の細工が施されたリンクをクリックすると,実際とは異なるアドレス(URL)を表示したウインドウがポップアップされる。つまり,ポップアップ・ウインドウのアドレス・バーを偽装することができる。 Secuniaでは,偽装が可能であることを示すデモ・ページを用意。IE 7で表示させたデモ・ページ中のリンクをクリックすると,Secuniaのサイトに置かれたコンテンツ(ポップアップ・ウインドウ)が,米MicrosoftのU

    IE 7にアドレス・バーを偽装されるセキュリティ・ホール
    ryuzi_kambe
    ryuzi_kambe 2006/10/26
    人のふり見てわがふり直そう
  • 星野君のWebアプリほのぼの改造計画 連載インデックス - @IT -

    セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? 誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動-SQLインジェクション編 Webアプリ、入力チェ

  • オープンソースWebアプリのセキュリティを調査 - @IT

    2006/2/25 Webアプリケーション・セキュリティに関心を持つ企業や個人が参加する「Web Application Security フォーラム」(WASフォーラム)は2月24日、東京都内でセミナーを開催、フォーラムの製品評価分科会で2005年11月に実施したオープンソース・ソフトウェア(OSS)のセキュリティに関する調査の結果を報告した。 この調査では、オープンソースの電子商取引アプリケーション数種を、推奨される構成でインストールし、これに対してWebアプリケーション検査ツールを実行、それぞれについてクロスサイト・スクリプティングやSQLインジェクションなどの脆弱性を確認した。 さらに、それぞれのアプリケーションに対して3種のWebアプリケーション・ファイアウォール(WAF)を適用し、再びWebアプリケーション検査ツールを実行し、適用前との違いを調べた。 調査の対象となったのは、O

  • IE、Firefoxなどブラウザ開発者がセキュリティで協力

    「Webサイトがどの程度安全だと認定されているのか」を示す業界標準がないという問題に、IE、Firefox、Opera、Konquerorの開発者が協力して立ち向かおうとしている。 MicrosoftのInternet Explorer(IE)開発チームは11月21日、ブラウザセキュリティの標準作りに関してFirefox、Opera、Konquerorの開発者らと会合を持ったことを明らかにした。 現在、Webサイトへのアクセス中にブラウザウィンドウに鍵マークのアイコンが表示された場合、そのサイトはトラフィックをSSLで暗号化しており、信頼できる第三者機関による認定を受けているということを示している。認定機関はWebサイトに対してさまざまなレベルのSSL証明書を発行しているが、あるWebサイトがどのレベルの認定を受けたのかを示す標準的な方法が業界にはないとIEチームは公式ブログの中で述べてい

  • 安全なWebアプリ開発の鉄則 2004

  • t_komuraの日記 [セキュリティ]Web Application Security Reviews

    PHP Everywhere に Web Application Security Reviews という、投稿がありました。 非常に興味深かったので、訳してみました。金融機関で受けた Web アプリケーションのセキュリティチェック項目をまとめたものだそうですが、結構厳しいです。 誤訳などがありましたら指摘していただけますと幸いです。 全ての重要な作業過程において、開発側と検査側を含めなければならない。言い換えると、もし私(開発側)が重要な案件を作成する場合、他の誰か(検査側)の検査と承認を受けなければならない。 取引の活発な団体の全ての取引において、ユニーク ID と(前後の)変更データ、タイムスタンプを保存しなければならない。 PHP または ASP で使用される全てのデータベースのパスワードは暗号化されていなければならない。 もし、Web アプリケーションがインターネットに公開される

    t_komuraの日記 [セキュリティ]Web Application Security Reviews
    ryuzi_kambe
    ryuzi_kambe 2005/10/18
    ブラウザ側にも同じようなチェックあるんだろうなぁ。
  • ウェブベースのFTPクライアント - ネタフル

    Access FTP through your browserという記事より。 If you, like myself, work from an office with a highly restrictive firewall policy and you need to upload and download files from an FTP server, then you’ll be glad to know there are web-based FTP services you can use. firewallポリシーなどでオフィスからFTPができない場合に、ウェブベースのFTPサービスを知っていると役に立つんじゃないか、ということで、ウェブベースのFTPクライアントが紹介されています。 ・Web2ftp ・Net2ftp どちらもSSL、anonymousでのFTPに対

    ウェブベースのFTPクライアント - ネタフル
    ryuzi_kambe
    ryuzi_kambe 2005/10/17
    穴にもなりそうなのでメモ。
  • Webブラウザの安全度をチェックする - SAFETY JAPAN 2005

    日常生活や仕事におけるWebブラウザの利用機会は増える一方だ。それにつれ,Webブラウザのユーザー・インタフェースや機能を悪用して詐欺や個人情報収集を狙う攻撃が増加するとともに,巧妙化している。フィッシングやスパイウェアが代表例だ。そこで,主要なWebブラウザの機能やユーザー・インタフェースをセキュリティの観点からチェックした。その結果,エンコードされたURLやexeファイルの処理,クッキーの扱いなどに違いがあることが分かった。 フィッシング,ボット,スパイウェア,情報漏えい―。 インターネットのセキュリティ問題は日を追うごとに悪化している。これらの詐欺行為や悪意あるプログラムへの感染の大半は,Web ブラウザと メーラー経由で行われる。しかも,メーラーで引き起こされる問題の多くがHTMLメールに起因する。HTML メールは表示にWeb ブラウザの部品を使う。つまり,セキュリティ問題の多

  • XMLHttpRequestオブジェクトの脆弱性はFirefox/Mozilla以外のブラウザにも影響

    IPAとJPCERT/CCによると、先日リリースされた「Firefox 1.0.7」「Mozilla Suite 1.7.12」で修正された脆弱性の1つが、他の複数のWebブラウザにも存在するという。 情報処理推進機構(IPAセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は9月30日、先日リリースされた「Firefox 1.0.7」「Mozilla Suite 1.7.12」で修正された脆弱性の1つが、他の複数のWebブラウザにも存在するとし、警告を発した。 JVNの情報によると、問題となっているのはJavaScriptのXMLHttpRequestオブジェクトの処理に関する脆弱性だ。 XMLHttpRequestオブジェクトは、Webページの再読み込みを行うことなくサーバと通信するための機能を提供するものだ。来ならば、JavaScriptの制限によ

    XMLHttpRequestオブジェクトの脆弱性はFirefox/Mozilla以外のブラウザにも影響
  • 高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイト

    ■ SSL 2.0をオンにしろと指示するサイト FirefoxがSSL 2.0を廃止する予定 という話が出ている。SSL 2.0では、プロトコルの冒頭部分で使用する暗号 の種類を決める際に、その部分が通信路上で改竄される攻撃を受ける可能性が あり(なにしろまだSSL通信は始まっていないのだから)、それによって使用 する暗号強度をダウングレードさせられる危険性などの問題があった。SSL 3.0では、この問題を解決するために冒頭の最後で改竄がなかったかをハッシュ 値で確認するよう対策されるなど、改善が施されている。 ブラウザには使用するSSLのバージョンを指定する設定が用意されている(図1)。 複数のバージョンがオンに設定されている場合、サーバ側が提示してくる利用 可能なバージョンと突き合せて、利用可能な最も新しいものを自動選択して使 うようになっている。 そのため、サーバ側がSSL 2.0し

  • スラッシュドット ジャパン | FirefoxがSSL 2.0のサポートを中止へ

    Anonymous Coward曰く、"Mozilla FirefoxがSSL 2.0のサポートを廃止する計画が進行中だ。SSLは安全な通信のためになくてはならないものだが、2.0にはセキュリティに関する多くの欠陥がある。そのため、Firefoxは新しくて安全なSSL 3.0とTLS 1.0だけをサポートすることになる。 Firefox 1.0.xでは、GUIからSSL 2.0の利用を簡単に停止できる。停止すれば安全になるうえ、自分が運営・利用しているウェブサイトがSSL 2.0を必要としていないかどうかもチェックできてお得だ。SSL 2.0が必要なウェブサイトを発見したら、根回しをよろしく。ちなみに、IE6はデフォルトでSSL 3.0が有効なので、サーバーでSSL 2.0を停止してもIE6からのアクセスに問題はないので、ご安心を。"