タグ

セキュリティに関するthingsymのブックマーク (5)

  • IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構

    IPA(独立行政法人情報処理推進機構)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。 下記より「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」についてのレポートPDF版をダウンロードしてご利用いただけます。 1.CMSとは 2.CMSで構築されたウェブサイトを狙う攻撃と対策 3.CMSを使ったウェブサイト構築・運用のポイント 4. チェックリスト 【別冊付録】ウェブサイト構築・運用のポイント 1. ウェブサイトを構築する上での注意点 2. ウェブサイトの運用開

    IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構
  • 乱数の性質とセッショントークンの作成 - $shibayu36->blog;

    ユーザアカウントのログイン機能とか作ってると、何らかの形でセッション用のトークンを作成する機会がある。今まではこれは適当にランダムな値を利用していればいいんでしょと思っていたのだけど、ちょっと違ったのでメモ。 乱数の性質 http://akademeia.info/index.php?%CD%F0%BF%F4によると、乱数には三つの性質がある。 無作為性:統計的な偏りがなく、でたらめな数列になっているという性質。 予測不可能性:過去の数列から次の数を予測できないという性質。 再現不可能性:同じ数列を再現できないという性質。再現するためには、数列そのものを保存しておくしかない。 この時、少なくとも無作為性のみ満たされていると弱い擬似乱数、無作為性と予測不可能性が満たされていると強い擬似乱数、全てが満たされていれば真の乱数と呼ばれる。ソフトウェアだけでは、真の乱数を作ることができず、真の乱数に

    乱数の性質とセッショントークンの作成 - $shibayu36->blog;
    thingsym
    thingsym 2015/10/26
    Perlでセッショントークンの作り方
  • 当社「ロリポップ!レンタルサーバー」における 第三者によるユーザーサイトの改ざん被害に関するご報告 | お知らせ | ニュース | GMOペパボ株式会社

    当社の運営するレンタルサーバー「ロリポップ!レンタルサーバー」(以下「ロリポップ!」)が、海外からの攻撃を受け、お客様のウェブサイトが改ざんされる事案が発生いたしました。 現在調査および対策は完了しており、対策完了後の新たな被害は確認されておりません。 お客様をはじめとする関係者の皆様に多大なるご迷惑とご心配をお掛け致しますこと、深くお詫び申し上げます。 また、8月28日の発生から正確な被害状況の確認や対策に、お時間を要してしまいましたことを重ねてお詫び申し上げます。 当社では、今回の事態を厳粛に受け止め、再発防止策を講じ、お客様の信頼回復に全力で取り組む所存でございます。 1. 発生した事象 2013年8月28日「ロリポップ!」において、WordPress で作成されたユーザーサイトが改ざんされる被害が発生。 2. 影響範囲 ページの改ざんが確認された件数 8,438件 3. 改ざんの内

    当社「ロリポップ!レンタルサーバー」における 第三者によるユーザーサイトの改ざん被害に関するご報告 | お知らせ | ニュース | GMOペパボ株式会社
  • CAPTCHAへの警鐘--スタンフォード大学が開発した解読ツール

    パロアルト発--スタンフォード大学の研究チームから、CAPTCHAに関して悪い知らせがある。CAPTCHAとは、多くのウェブサイトで、ユーザーが当に人間であることを証明するために入力を求められる、あの往々にして判読不可能で常に迷惑なゆがんだ文字列のことだ。 多くのCAPTCHAはあまり機能していない。もっと正確に言うと、研究チームはVisaのAuthorize.netBlizzard、eBay、Wikipediaなど、多くの主要ウェブサイトのCAPTCHAに含まれる厄介な文字や数字を解読する標準的な方法を考案した。 この表は、Decaptchaが各ウェブサイトのボット対策メカニズムの解読にどれだけ成功したかを示している。「Precision」という列は成功率を表している。 提供:Stanford University 同研究チームの解読手法は、マシンビジョンの分野の概念を取り入れている

    CAPTCHAへの警鐘--スタンフォード大学が開発した解読ツール
  • 文字コードに起因する脆弱性とその対策

    4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること

    文字コードに起因する脆弱性とその対策
  • 1