オープンソースな製品でどうセキュリティバグをハンドルするか?
Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 自分がFirefox 26で直した話でSecurity Bugとしてマークされているのがあったんだけど、それの話。バグ自体は、CVE番号は振られているけどただのクラッシュなのでSecurity Advisoriesには載ってないものね。 今までもたまにSecurity bug自体は直してたり (面倒であればバグを登録。最近もした) するんだけど、ほとんどの場合はリリース版になっていないベータとかTrunkのものでの話のバグを直すことばかりなので現在のプロセスに疎いことがあるんだけど (今の日本のオフィスで働いている人達に、いまってこういうプロセスになってたって知ってた?って聞いたら、「えっ?」って言わたのは内緒)、こんな感じで対応する。 commit時
総務省|報道資料|「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
昨今、リスト型アカウントハッキングとみられる不正アクセス事案が急増していることに鑑み、総務省では、サイト管理者などのインターネットサービスを提供する事業者が適切な対策を講じることによって、被害の拡大を防ぎ、安心・安全なインターネットの利用環境の確保に資するよう、事業者向けの対策集を作成しましたので公表します。 昨今、国内のウェブサイトに対して、リスト型アカウントハッキング(リスト型攻撃)※とみられる不正アクセス事案が急増しています。 このようなリスト型攻撃に対しては、関係者が適切な対策を講じ、今後の被害の拡大を防ぐことが重要です。このため、総務省では、「情報セキュリティアドバイザリーボード」(参考1)のワーキンググループ(参考2)での議論を踏まえ、サイト管理者などのインターネットサービス提供事業者が、サービスを運営する際に参考にしていただきたいリスト型攻撃への対策集を作成しました。 ※ リ
OWASP AppSec APAC 2014 | セキュリティ チョットデキル人、集合。
ウェブセキュリティの国際会議、はじめての東京開催。 March 17th - 20nd, 2014, at Tokyo, Japan OWASP Global AppSec APACは、ソフトウェアセキュリティに関する国際的なカンファレンスです。ソフトウェア技術の関係者、監査人、リスクマネージャ、研究者、アントレプレナー、最先端の実践者とともに、ウェブのセキュリティを高めるための最新の調査研究や、知見を共有することを目的としています。 2014年のアジア・パシフィックエリアでのGlobal AppSec開催は、ついに3月17日より20日まで、はじめて東京で開催されます。ご期待ください。 企業・団体の皆様:この機会に、是非スポンサーシップへのご参画をご検討ください。このスペースなどにロゴを掲載できます。 OWASP AppSec Conferenceに参加すべき理由 クリティカルな情報基
Remove defunct searchbox implementation from webview. · aosp-mirror/platform_frameworks_base@0e9292b
ソフトとハードの交差点:Googleの真意 - livedoor Blog(ブログ)
今月,日本のロボット業界は2度の大ニュースに上へ下への大騒ぎとなった.そして,その騒ぎは業界だけで留まらず一般の人をも驚かす事態へと発展した.Googleによるロボット企業の立て続けの買収劇である.このことについては,ニュースやWeb記事などでも取り上げられており,目にした方も多いだろう.そこでは,「ウェブに続いて現実世界を制覇するためだ」などと様々な憶測が流れている. しかし筆者の予想では,それは副次的にそうなる可能性はあるが,Googleが真に狙っているものではない.Googleが本当に狙っているのは,既存のAndroid事業で確立した,アプリ開発者とエンドユーザをGoogle Playで結ぶエコ・システムのロボットへの水平展開であると,筆者は予想する. この結論を導くためには,ロボット分野で繰り広げられて来た,ロボットで使用されるOSのデファクト・スタンダードを獲る戦いや,福島の原発
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
Androidの脆弱性(まとめ版)
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 について見つけたいきさつを記事にしました。 こちらは長いので、ざっくりバッサリ、なるべく簡潔に、何ができちゃうのか・何がヤバいのかをまとめます。 【原因】 WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。 このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです) 【何ができてしまうか】 JVNに書かれている通り Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意
インターネット・バンキングに係る預金等の不正な払戻しへの対応について|全国銀行協会
一般社団法人全国銀行協会(会長:國部 毅 三井住友銀行頭取)では、本日開催の理事会において、インターネット・バンキングにおける預金等の不正払戻し事案が急増している状況を踏まえ、お客さまに安心してインターネット・バンキングをご利用いただくための自主的な取組みを一層強化すべく、別紙のとおり、インターネット・バンキングにおけるセキュリティ対策の強化等に関する申し合わせを行いましたので、ご連絡申しあげます。 現在、わが国の多くの銀行では、インターネット・バンキングサービスを提供し、資金決済や資産運用などの様々なお取引についてお客さまにご利用いただいている。インターネット・バンキングは、今や重要な社会インフラの一つになっている。 その一方、インターネット・バンキングを利用した犯罪も発生しており、昨年1月、当協会では不正プログラムによるID・パスワードの盗取が原因と考えられる預金等の不正な払戻しに対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『ガラスの仮面』配信終了について - 電子書籍・漫画のCOCORO BOOKS