意外と知られていない、IE11リリースによる本当の危機 - ふろしき Blog
Internet Explorerはエンタープライズでの利用が想定されるため、Microsoft製品で広く適用されているサポート ライフサイクル ポリシーを確認すると、最低でも10年のサポートが受けられると考えている人も多いでしょう。IE8も9も10も、みんなそうなると信じて疑わないIT管理者の方も多いのではないでしょうか。 しかし、これは「誤り」です。 本記事では、最近やたらと複雑化の進んだIEのサポート期間の真実について解説します。 サポートライフサイクルポリシーとは? そもそもですが、Microsoftの「サポートライフサイクルポリシー」とは何でしょうか。公開しているドキュメントを参照すると、以下の通りです。 マイクロソフトはビジネス、開発用製品に対して最短でも 10 年間のサポートを提供します。ビジネス、開発用製品に対するメインストリーム サポートは、製品発売後 5 年間または次期
Security Challenge の攻撃者をリアルタイム監視してみた - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Hazama チームの萩原(@hagifoo)です。 cybozu.com Security Challenge へのご協力ありがとうございました。おかげさまで cybozu.com 及び kintone はより安心して使っていただけるサービスになりました。 当然、期間中は攻撃者のみなさまにより色々な攻撃を受けていたわけですが、我々もただ黙って見ていたわけではありません。kintone チームの刈川さん(@karihei)と攻撃を可視化するシステムを作って、セキュリティチームによるリアルタイム監視を行っていました。今回は、Security Challenge 用に作ったリアルタイム監視システムの概要とそこから学んだことを書いてみます。 モチベーション リアルタイム監視システム アーキテクチャ UI 学んだこと リアルタイムは空気感を伝える 大事なのはどう視せるか まとめ モチベ
重要! まずは「オリジン」を理解しよう
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
「失敗に対して寛容な教育」の前に、まずリスクを計算できる能力を育てるべきでは?(田村 耕太郎) @gendai_biz
「成功は最悪の教師であり、最高の教師は失敗である」 こう語ったのはマイクロソフト社の創業者ビル・ゲイツである。人類の歴史は「挑戦と失敗」から学んできたと思うし、グローバル化やテクノロジーの進化においてもさらに未曾有の時代がやってくるので、「失敗しながら学ぶ」ことは最も効率よい挑戦・成長の仕方だと思う。 ただ、だからといって「失敗することを勧める」のはいかがなものかと思う。 これからの教育において「子供たちに失敗への向き合い方をどう教えるべきか」を考えさせられる機会があった。その時の様子を記しながら、失敗に寛容になることの意義について考えてみたい。 「これからの教育は失敗に寛容であるべき」との意見が全員一致 カタールでの世界教育改革サミット(WISE)で私は「失敗に対して寛容になるべきか」というテーマのパネルディスカッションに登壇した。私以外の登壇者は、世界銀行の幹部、インド系カナダ人の世界
技術/Security/PKI,SSL,TLS/SSL, Certificate, Public Key Pinning - Glamenv-Septzen.net
ホーム 検索 - ログイン | | ヘルプ 技術/Security/PKI,SSL,TLS/SSL, Certificate, Public Key Pinning [ Prev ] [ Next ] [ 技術 ] 勉強中のメモ。(あくまでも個人の意見や見解です) Certificate and Public Key Pinning - OWASP https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning Certificate and Public Key Pinning | グローバルサインブログ|SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社) https://jp.globalsign.com/blog/2013/certificate_public_key_pinning.html
Certificate and Public Key Pinning | グローバルサインブログ
Chromeではgoogle.comに発行する正規な認証局をPinningしています。たとえ、信頼されたルート証明機関ストアに含まれた認証局からgoogle.comの証明書が発行されたとしても、Pinning のリストにない場合は警告表示が行われます。ほとんどの人はこの件が起きるまで、この技術がChromeに実装されていることを知りませんでした。 この件がきっかけでPinningの有効性は十分に認知され、Pinningをアプリケーション側に実装することでCA側による危殆化による不正な発行、または誤発行によるトラブルの拡大を防げることは実証されました。今後はPinningのリストを拡大していくことが課題かと思いますが、IETFのドラフトにおいても拡大には問題があると提示されています。 今後の動き Pinningをユーザーエージェント提供側にてハードコード化し、展開していくには慎重な対応が要求
RubyのCVE-2013-4164対応 - ただのにっき(2013-11-25)
■ RubyのCVE-2013-4164対応 (もう3日も前の話だが)rubyに新しい脆弱性があると公表されたので、使っているrubyをアップデートしなくてはならない(1.9.3と2.0.0ともに)。 いつものようにrbenv installでローカル環境のアップデートはさくっと済んだのだけど、最近はHerokuでいろんなものを動かしているのでそれもアップデートする必要がある。たしか以前は勝手にアップデートしてくれた記憶があるのだけど、最近は自分でアップデートのトリガーを引かないといけないそうだ(まぁそりゃそうだよな)。 手順はメールが来ていて: $ git commit --allow-empty -m "upgrade ruby version" $ git push heroku master と、ようするに空のcommitを作ってpushすればそれでOK、と。でもこれをすべてのアプ
アフタヌーンの購読を電子版に切り替えた - ただのにっき(2013-11-26)
■ アフタヌーンの購読を電子版に切り替えた もうすっかり雑誌の定期購読からは遠ざかっていて、なにか欲しい記事が載ってる号を必要に応じて買うくらい。それも年に1、2回だ。例外はほぼ惰性で買い続けている月刊アフタヌーンで、「これだけは連載で読みたい」みたいな強い動機がないままに何年も買い続けている。自分でも不思議。 そんなアフタヌーンが紙と同時発売で電子化されるという。基本的にDRMのかかった本はクソの役にも立たないので買わない方針なのだけど、紙の雑誌は読み終えたら資源ごみ出すくらいで役に立たない度としてはどっこいどっこいだ。じゃあ試しに買ってみてもいいかもね。 あとはどの端末で読むかなのだけど、手持ちのKindle4は日本のマーケットには未対応なのでNexus7(2012)しか選択肢はない。で、サンプルをダウンロードしてみたら冒頭のカラーページしか入ってなくて肝心のマンガがどう見えるのかわか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
