Application Architecture for Enterprise Win Store Apps with DDD PatternAtsushi Kambara
![徳丸本に載っていないWebアプリケーションセキュリティ](https://cdn-ak-scissors.b.st-hatena.com/image/square/9bbb1114d561f3586b52a82d1be97a4b684e87a5/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fphpcondo-120424100715-phpapp02-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、この手の攻撃は、人に教育さえしておけば防げるものなのでしょうか?(編集部) 「セキュリティ元年」から変化したもの、しないもの 筆者の記憶によると、「セキュリティ元年」という言葉が登場したのは2000年ごろのことだ。 この当時、ADSLのサービスが開始され、「ITバブル」をキーワードに株価は上昇。中小企業においても「eコマース」という言葉がもてはやされ、通販サイトなども乱立した。インターネット華やかなりしころである。 しかし、ITへの投資は増えたものの、それに対する「システムとしてのセキュリティ」はコストと見なされ後回しにされてきた。そして、2000年にはLoveLetterウイルスが蔓延、2001年にはCodeRedによる感染活動によりトラフィックが激増した。この日は「インターネットがまひした日」とされてい
Infrastructure as a Service(IaaS)を使えば、企業はマウスを数回クリックするだけでサーバやストレージ、ネットワークのリソースを作成できる。だがIaaSはクラウドサービスの中では、ユーザー企業が負うセキュリティ維持の責任が最も重いモデルだ。米Amazon Web Services(AWS)や米Rackspace Hostingなど、主要なIaaSプロバイダーは既に低レベルのインフラについてはセキュリティを確保している。だが企業が自社で管理すべきサーバのセキュリティ対策が不適切な場合には、どうなるのだろう? またこうした仮想インフラでは、サーバはどのようなタイプのリスクにさらされているのだろうか? こうした疑問の答えを見つけるべく、私はRackspaceを使った標準的な仮想サーバでテストをしてみた。このテストからは、IaaSのセキュリティを確保するために企業が取る
このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。 はじめに 大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション」を受けてのことだと思います。id:ajiyoshiさんのエントリでは、「妥当性検証は仕様の問題であってセキュリティ対策ではありません」と明言されています。私はid:ajiyoshiさんに近い考えを持っていますので、大垣さんの主張について、私なりに考えてみました。 記事を書くにあたり、徳丸の立場を明確にしておきたいと思います。 バリデーションの基準は仕様の問題 バリデーション
メモリフォレンジックは、揮発性のデータを解析する技術です。インシデントレスポンスにおいては、「どこと通信していたか」「どんなプログラムやスレッドが動いていたか」「どのようなデータがメモリ上にマッピングされていたか」などの情報がしばしば重要になってきます。メモリフォレンジックをうまく活用することで、これらの情報を抽出することが可能になります。今回は、メモリフォレンジックのテクニックを用いてマルウェアの感染痕跡を調べる方法を紹介します。 数年前まで、揮発性のデータを取得する方法は、対象のマシン上でプロセス情報や通信情報などを出力するコマンド(たとえば、netstat)を実行するやり方が主流でした。しかしこのやり方では、以下の二種類の情報を取得することができません。 API のフックやリンクリストの改ざんなどにより、意図的に隠蔽されている情報終了したプロセスなど、既に開放されたメモリ領域に存在す
コンテンツ課金の可能なプレミアムSMSを秘かに送信するマルウェアが公式のAndroidマーケットで発見され、報告を受けたGoogleが計27本の不正アプリを削除する事態となった( The Lookout Blogの記事、 BBC Newsの記事、 Symantecのセキュリティ情報)。 このマルウェアは米Lookoutが発見したもので、「RuFraud」と名付けられている。ヨーロッパのユーザーを主なターゲットにしており、初回起動時に表示される確認画面でユーザーが承認ボタンをタップするとプレミアムSMSが秘かに送信されるとのこと。アプリ自体は既存のアプリを再パッケージ化したもので、Angry Birdsのような超有名アプリも含まれる。Lookoutによれば、同様のマルウェアは数ヶ月前から非公式のアプリストアやファイル共有サービスでの配布が確認されていたそうだ。先週から公式のAndroidマー
どうぞよろしくお願いいたします。 【12月25日 14:36追記】 復旧作業の進捗状況について2点報告させて頂きます。 1)復旧時刻は12月26日(月) 8:00 を予定 2)復旧作業を進めるにあたり万全を期すために 12月26日(月) 2:00 ~ 8:00 で緊急メンテナンスを実施 この間、アメーバの全サービスがご利用いただけなくなります。 該当するAmebaIDの復旧作業の作業内容・作業時間の確認が完了し、 現在、最優先で復旧作業を進めております。 ご利用の皆様にはご迷惑をおかけいたしまして申し訳ございませんが、 ご理解とご協力のほど、よろしくお願いいたします。
2011年12月20日に発生したNTTドコモのspモード障害(関連記事)。一部のサーバーが処理能力不足に陥ったことが、なぜ「自分のメールアドレスが他人のものに置き換わる」という通信の秘密にかかわる事故に発展したのか。大きな理由の1つは、メールアドレスが端末固有のIDでなく、端末に振り出されたIPアドレスとひも付いていた点にある。 Android OS端末がいったん3G網に接続したら、3G網から切断しない限り、端末のIPアドレスは変わらない。端末を再起動したり、あるいは3G網からWiFi網に切り替えたりしない限り、IPアドレスが再度割り振られることはない。家庭の固定網に接続したパソコンに近い仕様といえる。 この仕組みによって、Android OSにおけるIPアドレスは、一時的には端末を識別するIDとして使える。NTTドコモのspモードシステムの場合、3G網に接続して電話番号とIPアドレスをひ
SPモードメールで、メールの発信者が別の人のメールアドレスにすげ替えられてしまうというトラブル。 加入者に強くひも付いたシステムになってるはずなのになんでこんな不思議なことが起きるのか理解できなかったのですが、記者会見での詳細が幾つかのニュースサイトに出ていました。 「あってはならない」個人情報流出の可能性も――ドコモがspモード不具合の経緯を説明 - ITmedia +D モバイル ドコモ、“他人のメアドになる”不具合は解消――10万人に影響 - ケータイ Watch 加入者はIPアドレスで識別されていて、そのひも付けが伝送路障害をきっかけに混乱した、ということのようです。加入者とのひも付けは全然強くない…というか恐ろしいほど弱いシステムでした。 まず、「IPアドレスで加入者を識別する」という思想がかなりやばいと言わざるを得ません。初期iモード時代は無線ネットワークと一体になっていたシ
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
本連載では、セキュアコーディングスタンダード「CERT Oracle Secure Coding Standard for Java」の内容をベースに、Android特有の情報を交えつつ、堅牢なプログラムを開発するためのノウハウを具体的な事例とともに紹介していきます。第1回では、セキュアコーディングの意味と、その効果について解説します。 はじめに 昨年、C/C++に関してセキュアコーディングの連載があったことを御存じの方もいるかもしれません。今回始まる「Javaセキュアコーディング入門」は、Javaのプログラミングにおいて、入力値検査、引数の安全な渡し方、例外処理、整数演算といったソフトウェアの脆弱性に直結する問題に対して、コーディング上の注意点や脆弱性を作り込まない作法を解説するものです。具体的には、演算処理、文字列処理、ファイル操作などトピックごとに、よりセキュアなコーディングスタイル
Internet Week 2010 S3 今日こそわかる、安全なWebアプリの作り方2010 http://www.nic.ad.jp/iw2010/program/s3/ Read less
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
こんにちはこんにちは!! 今日、はてなの人気記事を見ていてこんな記事がありました…! ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです! でもそんなプログラムをWeb上で公開すんじゃねーよボケと。 PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな ふむふむ、PHPで簡単につくっちゃうのは良いけど、 公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね って記事ですね! でもぼくは、この記事を読んでも… なぜXSSがいけないのか 結局よくわかりませんでした…。 いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど… フォームに入力したHT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く