HOME社会基盤センター報告書・書籍・ツール・教材書籍SEC BOOKS:ESCR C++ Ver. 2.0:【改訂版】組込みソフトウェア開発向けコーディング作法ガイド[C++言語版] Ver. 2.0 SEC BOOKS:ESCR C++ Ver. 2.0:【改訂版】組込みソフトウェア開発向けコーディング作法ガイド[C++言語版] Ver. 2.0
~ IPA に今まで届出のあった “安全でない CMS を利用しているウェブサイト” 241 件のうち、脆弱性解消の目処が立っていないのは 50 件(約 2 割) ~ 対象 古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを管理するシステム)の脆弱性を狙ったウェブ改ざんが横行しています。改ざんによりウェブサイトにウイルスを仕掛けることも可能なため、問題のあるウェブサイトを放置しておくことは、ウイルス拡散に悪用されかねません。 ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図 特に、Web Diary Professional(以後、WDP)と Movable Type という CMS については、以下の注意喚起の通り、攻撃が活発化しています。 大阪府警察 偽サイトへ誘導するページを蔵置するための不正アクセスの手口について http://www.police.
第4章 セッション対策 セッション乗っ取り:#3 https:の適切な適用 https:による通信経路の防護 Webアプリケーションには、パスワード入力、個人情報表示、クレジットカード番号の取り扱い等、他人に通信を傍受されたくない場面をもつものがあり、それらのWebページではhttp:ではなくhttps:のスキームをもつ URLが使われる。 経路の守秘性を確保するために、HTTPと共に TLS (Transport Layer Security) のセキュアプロトコルが使われる必要がある。 (1) セキュアプロトコルで守るべきもの https:のセキュアプロトコルで守るべきものには次の2種類がある。 ユーザが目にする重要情報 セッションID パスワード、個人情報、クレジットカード番号、ショッピング明細等、[1] に該当する情報が他人に漏れてはならないのは分かりやすい。 しかし、ユーザの目に
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)に設置したRuby標準化検討ワーキンググループ(委員長:中田 育男 筑波大学名誉教授)にて原案作成を進めてきたプログラム言語Rubyの技術規格書が、JIS規格、JIS X 3017として、2011年3月22日に制定されました。 JIS規格化されたことにより、Rubyの相互運用性(*1)が向上し、Rubyを用いてより生産性の高いプログラム開発・システム開発が可能になります。 概要 Rubyは1993年に日本で発案され、開発が開始された、日本発のプログラム言語です。豊富な機能と簡便さとを併せ持ち、高機能なアプリケーションを簡潔に記述できる等の特長から、セールスフォース・ドットコムや楽天など、国内外に有名な数多くの会社のアプリケーション開発やシステムの開発に用いられています。また、島根県や福岡県などは、Rubyを核とした地域ソフトウェア産
ダウンロード このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。 講座テキスト「はじめに - 脆弱性の分類と開発工程」 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」 講座テキスト「第2回 設計工程における考慮が重要である対策」 講座テキスト「第3回 主に実装工程で実施する対策」 Webアプリケーション脆弱性対策チェックリスト 用語解説 品質保証部門向けコンテンツ この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、オープンソースソフトウェア(OSS)のヘルプメッセージ等を翻訳する際の、コミュニティーによる協調作業を支援する「翻訳コミュニティー基盤ソフトウェア」を開発し、OSS開発・評価支援環境「OSSオープン・ラボ」から提供を開始しました。 URL: http://www.openlab.ipa.go.jp 近年のOSSの多くは、プログラムの基本構造を、扱う言語に依存しない構造とするとともに、プログラムの本体と、ヘルプメッセージやメニュー画面等のテキストとを分離しています。それらのテキストやマニュアル等を、各国の翻訳ボランティアが自国語に翻訳することによってソフトウェアの自国語化を推進しており、言語対応に関しても自助努力を基本とした考え方で作成されています。 しかし、日本においては、英語-日本語の言語の差異が、英語-欧州各国語の差
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2008年度下期の「未踏IT人材発掘・育成事業」の公募を行った結果、提案テーマ数101件(応募総数は154件(注))の中から、23件の採択プロジェクトを決定しました。 未踏IT人材発掘・育成事業は、ソフトウェア関連分野においてイノベーションの創出につながるような独創的なアイデアや技術を持ち、これらを活用していく能力を有する優れた個人(クリエータ)を、優れた能力と実績を持つプロジェクトマネージャー(以下「PM」)のもとに発掘・育成するものです。 本事業の実施にあたっては、特に独創性を評価するため、産学界から専門知識を持つPMを委嘱しています。2008年度のPMは以下のとおりです。 審査は、本事業の趣旨である独創性あふれるアイデアや未踏性に富んだ人材の発掘・育成という観点を踏まえ、各PMそれぞれの審査基準によって行われました
当機構職員が自宅において保有する私物のパソコンでファイル交換ソフト「Winny」を使用した結果、コンピュータウイルスに感染し、パソコン内の情報が流出したという事実を確認しました。 これにより、当該職員に関わる個人情報等や一部の公開画像が流出したと見られます。他方、これまでの調査では、当機構の業務関連の非公開情報は含まれておりませんが、さらに確認を行っているところです。 当機構は、情報セキュリティ対策を推進しており、ファイル交換ソフト(Winnyなど)の利用の危険性についてもかねてから注意喚起を行ってきたところです。今般このような事態が発生したことについて、陳謝申し上げるとともに、再発の防止に全力を尽くしてまいります。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く