サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ノーベル賞
java-house.jp/~takagi
瀬戸際に立たされた日本の Webプライバシー ∼研究者にできることはないのか∼ 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 電子情報通信学会 情報通信システムセキュリティ研究会 インターネットアーキテクチャ研究会 招待講演 2010年6月17日 (後日配布版) 1 趣旨 •学術界では…… •プライバシー保護技術に関する沢山の研究、問題定義は明白 •しかし現実は…… •最も初歩的な問題ある方式が導入され、放置、継続、拡大 •日本の「ケータイID」の話、ケータイだけで済まなくなる勢い •開発技術者は…… •その方式があたりまえと視野狭窄に •ビジネス界は…… •その方式を前提にサービス設計し始めている •法律家は…… •技術的な違いがわからないまま現行法の解釈論に終始 •どうすればいいの? 2 ケータイIDとは •契約者に固有のID •HTTPの送信ヘッダに挿入
パターンは役にたったのか? パターン解釈を巡る論争を振り返る 産業技術総合研究所(旧電子技術総合研究所) 高木 浩光 takagi.hiromitsu@aist.go.jp GoFパターンの解釈に関する論争 I 「Java House」メイリングリストでの論争 <http://java-house.etl.go.jp/ml/topics/topics.html#oo-pattern> – それはCommandパターンではない (1997年7月) – java.lang.RunnableはCommandパターンか? (1998年8月) – それはFactory Methodパターンではない (1998年10月) I fj.comp.oopsでの論争 – Abstract Factoryの実現にはしばしばFactory Method が用いられる…? (1999年7月~10月) それはCom
情報処理学会関西支部, チュートリアル 講演会 「情報セキュリティの実践と理論」 配布資料 失敗事例の収集と分析 • 学術的に面白くない? – のだとしても、解決が求められているのがこの領域の 問題であるのは事実 – どうする? 誰がやる? 何をする? セキュリティホールの アンチパターン 独立行政法人産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム • 本講演では – 単純に無知が原因の問題は省いて、何らかの構造的 な問題がありそうなものを中心に、とにかく事例紹介 – 皆様のご研究の種にしていただければ幸い 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ まずは掴み: 身内のネタから • 情報処理学会ホームページにこんなものが… 何が問題か? • 会員番号がわかれば、その人の誕生日を調べられる – 学会の
JNSAセキュリティセミナー in IW2002 基調講演 (2002年12月17日) 後日配布版 躍進するWebアプリの裏側で • もう誰にも止められないようだ – 発注者は危ないものだということを知らない – 「皆がやっているようにうちもWebでやりたい」 安全なWebアプリ開発 31箇条の鉄則 独立行政法人産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム • そもそも危なっかしいもの – セキュリティプロトコルを素人がその都度設計している ようなもの • 安全基準がない – 発注者も仕様書にセキュリティレベルを指定できない – いざ欠陥が発覚したときに、誰の費用で直すのかを明 確にできない事態が起きる 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ • 電子政府などに求められる厳格なセキュリティ –
JavaWorld DAY 2003 2003年6月19日 会場配布資料 • 画面設計の鉄則 目次 1.アドレスバーを隠さない 2.FRAMEを使わない 3.ブラウザの設定変更を強要しない 4.ユーザ名 だけでログインさせない 5.認証キーには秘密情報を 6.パスワードを4桁数字にしない 7.認証 エラーで存在を暴露しない 8.認証で秘密情報を暴露しない 9.パスワードリマインダの鉄則 • セッション実装の鉄則 10.公開ディレクトリに置かない 11.全てのアクセスを認証チェック 12.アクセス許可対象者を限定 する 13.URLに秘密情報を入れない 14.セッションIDを使う 15.セッションIDは予測不能に 16. 状態はすべてサーバ側に持たせる 17.XSS脆弱性を排除する 18.HTMLタグの入力をさせな い 19.ログアウト機能を用意する 20.際どい操作はPOSTにする
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
このページを最初にブックマークしてみませんか?
『java-house.jp』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く