ERR01-J. センシティブな情報を例外によって外部に漏えいしない
例外を伝播させる際に例外に含まれるセンシティブな情報を取り除かないと、攻撃者にさらなる攻撃の手がかりを与えるような情報漏えいを引き起こすことが多い。攻撃者はプログラムの内部構成や動作メカニズムを外部に晒すために、巧妙に細工した入力を作成することができる。例外メッセージおよび例外の種類は、内部の情報を漏えいしうる。たとえば、FileNotFoundException という例外メッセージはファイルシステムの構成に関する情報を、例外の種類は要求されたファイルが存在しないことを明らかにする。 このルールは、クライアントプログラムだけでなく、サーバサイドのアプリケーションにも当てはまる。攻撃者は脆弱なウェブサーバからだけでなく、脆弱なウェブブラウザを利用するユーザからもセンシティブな情報を集めることができる。Schönefeld は2004年に Opera v7.54 に対する攻撃手法を発見した。
JavaのSSLSocketでSSLクライアントとSSLサーバーを実装する
はじめに 企業間の受発注取引をインターネットを利用して行うB2B(企業間電子商取引)も、ロゼッタネットをはじめとして、ここ数年で導入が活発化してきています。B2Bシステムを構築する際に欠かせないのがセキュリティの確保であり、セキュリティインフラの中心となるのがSSL(Secure Socket Layer)です。本記事では、J2SE1.4から標準で用意されたJSSE(Java Secure Socket Extension)のAPIを利用した簡単なSSLサーバー/クライアントの実装例を紹介します。 対象読者 Javaプログラミングを行ったことがある方を対象とします。 必要な環境 サンプルは以下の環境で動作確認を行っています。 J2SE1.4 J2SE5.0 SSLについて SSLは、ネットワークを通じたデータ送信時にデータの機密性および整合性を保護するために設計されたプロトコルです。SSL
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Java コーディングスタンダード CERT/Oracle 版
