個人情報保護法時代のIISセキュリティ対策(後編)(1/3) - @IT
それぞれに一長一短があり、どのサービスを選択するかが悩ましい。どのサービスを選択するかは、利用者のポリシーやその時々の状況によるだろうから、一概にいずれかを推奨することはできない。ただ、筆者の見解としては、以下のように状況別の利用形態を検討することで、どのサービスを選択するべきかの答えが得られると考えている。 ●モバイル対応の必要性 SSLを導入しようとしているWebサイトで、モバイル(携帯電話)端末からの入力を暗号化する必要があるかどうかが選択基準になる。モバイル対応が必要な場合、日本ジオトラストのサービスを選択すると、導入後に予想外の事態に遭遇することがあるので要注意だ。ちなみに筆者の経験の話をすると、モバイル向けのショッピング・サイトを作成してSSLを導入しようとしたことがあった。筆者はいつも日本ジオトラストを利用しているので、普段どおりの手続きでIISにSSLを導入し、PCでの確認
小田急予約サイトで競合状態バグによるトラブル | スラド
Anonymous Coward曰く、"13日の朝日新聞の記事によると、小田急電鉄の特急券予約サイト「ロマンスカー@クラブ」で、システム障碍により少なくとも6件の情報漏洩または誤課金が発生したとのことで、小田急の公式アナウンスが出ている。 それによると、予約操作したのに予約が行われない、何も操作していないのに予約された、購入していないのにポイントが減額された、他の会員の画面が表示されたなどの現象が確認されているとのことで、いわゆる競合状態バグ(race condition bug)による事故だと思われる。類似の事故として2004年2月のストーリー「国税庁のWeb確定申告書作成システム、作ってみたら他人の申告書」が思い起こされる。この種のバグをなくすためにはどのような開発手法、検証手法が有効であろうか。"
Tomcat 4.xに脆弱性、幾つかの製品に影響も
オープンソースのJavaアプリケーションサーバ「Tomcat 4.x」に、なりすましを受ける脆弱性が存在する。 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は9月30日、オープンソースのJavaアプリケーションサーバ「Tomcat」に脆弱性が存在するとし、警告を発した。JVNの情報によると、問題が存在するのはTomcat 4.x。 Tomcatは、Apache Jakartaプロジェクトで開発が進められてきたオープンソースのWebアプリケーションサーバ。9月23日には、Apacheのトッププロジェクトへ「昇格」することが明らかになったばかりだ。 Tomcatでは、Webサーバとのやり取りを行うプロトコルとして、HTTP以外にAJP(Apache JServ Protocol)が利用できる。Tomcat 4.xでは、このAJP
JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性
Java Servlet と JavaServer Pages のサーバ実装である Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。 以下のいずれかに当てはまるシステム Apache Tomcat 4.1.36 およびそれ以前で AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) を用いて Web サーバと連携させている場合 Apache Tomcat 4.1.29 およびそれ以前、あるいは Apache Tomcat 5.0.16 およびそれ以前で、Web サーバと連携させている場合 (Connector の種類問わず) Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。 The Apache Software Foundation は AJP
情報処理推進機構:「Tomcat」におけるリクエスト処理に関する脆弱性に関する解説.
本資料は、JVNで公表した「JVN#79314822:『Tomcat』におけるリクエスト処理に関する脆弱性」について解説するものです。 「Apache Tomcat」(以下 「Tomcat」)は、サーバ上で Java アプリケーションを動作させるためのソフトウェアです。Java サーブレット仕様と JavaServer Pages 仕様のリファレンス実装となっています。 「Tomcat」には、ウェブサーバと連動する機能があります。AJP (Apache JServ Protocol) 1.3 は連動のためのプロトコルの一つで、AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) は AJP 1.3 を使用するコネクタの一つです。このコネクタを使用した場合、「Tomcat」はウェブサーバから AJP 1.3 リクエストを受け取り、
アプリケーション・サーバー「Tomcat 4.x」にセキュリティ・ホール
JP Vendor Status Notes(JVN)は9月30日,Javaアプリケーション(Java ServletやJSP)の実行環境であるオープンソースのアプリケーション・サーバー「Apache Tomcat 4.x」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたリクエストを送信されると,ユーザーのなりすましなどを許す可能性がある。対策はTomcat 5.xにアップグレードすること。 Tomcatは単独でもWebサーバーとして利用できるが,他のWebサーバーと連携させることもできる。特に,Apache Web Serverと連携させる場合が多い。連携には,AJP(Apache JServ Protocl)と呼ばれるプロトコルを利用する。TomcatはWebサーバーからAJP 1.3のリクエストを受け取り,そのリクエスト情報に基づいてServletを呼び出す。To
シマンテック:「Mozillaブラウザの脆弱性、IEを上回る」
Symantecが公表したレポートによると、Mozillaの開発するウェブブラウザのほうが、MicrosoftのInternet Explorer(IE)よりも、攻撃に悪用される可能性のある脆弱性が多いという。 ただし、米国時間19日にリリースされたこのレポートから、ハッカーが依然としてIEに焦点を合わせていることもわかった。 人気の高いFirefoxをはじめとするMozillaの各ブラウザは、一般的にセキュリティ関連の多くの問題を抱えてきたIEより安全だと見なされていた。Mozilla FoundationプレジデントのMitchell Bakerは今年に入って、Mozillaの各ブラウザのほうがIEより根本的に安全だと述べていた。同氏はまた、Mozillaの各ブラウザはマーケットシェアが拡大してもIEほど多くの問題に直面しない、との予測も示していた。 だが、Symantecが発表した「
IEに脆弱性--Windows XP SP2が攻撃対象になるおそれ
「Internet Explorer(IE)」で脆弱性が発見され、これが悪用されると「Windows XP Service Pack 2」を稼働しているシステムに対するリモート攻撃が起こるおそれがあると、eEye Digital Securityが警鐘を鳴らした。 同社が米国時間15日に発表した勧告によれば、この脆弱性はサービスパックを適用していないWindows XPを稼働させているシステムにも影響を与えるもので、IEの初期インストールに起因しているという。 eEyeのプロダクトマーケティング担当シニアディレクターMike Puterbaughは、「同脆弱性がワーム化することはないが、エンドユーザーが一定の作業を行うことで、(コードの)リモート実行が誘発される可能性がある」と述べている。 Microsoftは8月にも、月例パッチをリリースをした後、IEに関する3件の脆弱性を修復するパッチ
Windowsのレジストリに問題発覚--悪質なソフトウェアが検知不可能に
Windows PCで、過度に長いレジストリキーを使用して悪質なソフトウェアを隠せてしまう問題について、セキュリティ専門家らが注意を呼びかけている。 セキュリティベンダーのStillSecure(本社:コロラド州ルイビル)によると、ウイルス/スパイウェア対策製品のなかには、レジストリをスキャンして悪質なプログラムを見つけだすものがあるが、新たに見つかったこの欠陥を悪用すれば、それらのアプリケーションを隠すことが可能になるという。 StillSecureのCTO(最高技術責任者)Mitchell Ashleyは、「この問題を悪用して、悪質なプログラムをシステム内に隠せば、セキュリティソフトウェアやレジストリスキャンツールでは見つけられないだろう」と述べている。StillSecureによると、検知や除去は困難あるいは不可能だという。 インターネットに対する脅威を追跡調査するSANS Inter
「影響は限定的」--MS、IEの脆弱性に関する詳細を明らかに
Microsoftが、先週見つかったInternet Explorer(IE)のセキュリティホールについて、新たな詳細を明らかにした。この欠陥によって危険にさらされるのは「Microsoft DDS Library Shape Control」ファイルをインストールした一部のシステムに限られるという。 米国時間17日にFrench Security Incident Response Team(FrSIRT)が報告したこのセキュリティホールは、「Microsoft DDS Library Shape Control(Msdds.dll)」というファイルに関連するものだが、Msdds.dllファイルが存在しなければ、コンピュータが外部の攻撃者に改ざんされるおそれはない。 Microsoftが米国時間19日に公表した情報によると、同ファイルがコンピュータにインストールされるのは、Visual
speciii.com
This domain is expired. If you are the domain owner please click here to renew it. speciii.com 2018 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact informatio
Webアプリケーションのセキュリティを後回しにするな
Security&Trust トレンド解説 Webアプリケーションのセキュリティを 後回しにするな 岡田大助 2005/8/19 個人情報の保護に関する法律(個人情報保護法)が全面施行されてから4カ月が経過したが、依然として情報漏えい事故/事件は続発している。むしろ、法律が施行されたことによって情報漏えいに関するニュースが以前よりも目に入るのかもしれないが、企業はそれなりに個人情報保護法対策を施しているはずだ。 2005年5月から6月にかけて、Webアプリケーションの脆弱性を突かれた情報漏えい事件がメディアでさかんに取り上げられた。世間一般のイメージに比べて、外部からの犯行による情報漏えいというのは実際のところ少数派だ。それ故、Webアプリケーションのセキュリティ対策は後手に回っていたのかもしれない。 「情報漏えいの原因の8割は内部から」というフレーズは非常によく使われている。コンピュータ
@IT:【特報】「ヌーブラを買ったばかりに」、楽天被害女性の悲しみ
2005/8/12 「昨年夏、最も安かった楽天市場の店舗『AMC』でヌーブラを買いました。それ以来、AMCでは買っていなくて、買ったことも忘れていたのに……」。楽天市場の個人情報が流出した事件の被害者 尼寺麻里子(仮名)さんは「私の個人情報はどうなるのか」と不安を口にした。 尼寺さんが楽天から電子メールを受け取ったのは7月23日午後11時30分。ただ、「回りくどい書き方で、最初は私が当事者とは思わなかったんです。捨てるところでした」。尼寺さんの電子メールボックスには毎日、楽天の店舗からいくつも電子メールが届いている。楽天からの電子メールもそのような広告メールの1つと思えた。しかし、楽天から直接送信されていることに気づいて再度、電子メールを開くと情報流出を伝える電子メールだった。 楽天市場に出店している「AMC」において、当店での一部取引に係る個人情報が流出した事実が判明しましたのでご報告申
新シェル「Monad」は「Windows Vista」に含まれず--MS、ウイルスの可能性を否定
Microsoftは米国時間5日、ウイルス作者がターゲットにする新しいスクリプト作成ツールが、次期Windowsクライアントの「Windows Vista」には搭載されないことを明らかにした。 Microsoftの関係者によると、同社は主力サーバOSの次期リリースの一部として、このコマンドラインのシェルツール(開発コード名:「Monad」)を投入する可能性を模索しているという。同サーバOS(開発コード名:「Longhorn Server」)は2007年に発売が予定されている。 MicrosoftのStephen Toulouse(同社セキュリティグループ・プログラムマネージャ)は、「MonadはWindows Vistaの正式版には搭載されない。したがって、これらの潜在的ウイルスはWindows Vistaに影響しない」とブログに書き込んでいる。 Microsoftが言及しているのは、ネッ
Windows 2000にセキュリティホール--ワーム攻撃の恐れ
Windows 2000のコアコンポーネントに深刻な欠陥が発見されたが、修正パッチが出されるまでこれを回避する方法はないと、あるセキュリティベンダーが発表した。 eEye Digital SecurityのMarc Maiffret(同社ハッキング担当最高責任者)は米国時間3日、この脆弱性により攻撃者がIPアドレスを使ってリモートからPCに侵入するおそれがあることを明らかにした。同氏は、この欠陥を悪用すれば、コンピュータのユーザーが何も操作しなくても、ワームを使った攻撃が簡単に仕掛けられると指摘している。 同氏によると、このセキュリティホールで特に問題なのは、回避策が見あたらない点だという。「この(脆弱な)コンポーネントは常時有効になっており、無効にもできず、アンインストールすることもできない」(Maiffret) eEyeでは、この欠陥や、問題になっているWindows 2000のコンポ
Apache 2.0の必須設定と基本セキュリティ対策
Apache 2.0の必須設定と基本セキュリティ対策:実用 Apache 2.0運用・管理術(1)(1/3 ページ) 本連載では、Apache 2.0の運用や管理方法を解説する。第1回では、その下準備として必須の設定と基本的なセキュリティ対策を行い、今後の運用に備える。(編集部) WebサーバのデファクトスタンダードApache Webサーバと聞いて、Apache Webサーバ(以下Apache)を思い浮かべないLinuxユーザーはいないでしょう。いまや、ApacheはWebサーバのデファクトスタンダードという地位を確立しています。Netcraft社の2005年7月の調査(http://news.netcraft.com/archives/2005/07/)によると、WebサーバにおけるApacheのシェアは7割に及んでいます。 HTTP/HTTPSがeビジネスの基盤として使用されるように
Firefoxの旧バージョンに脆弱性--エクスプロイトコード出まわる
旧バージョンのFirefoxが動作するシステムの攻撃に悪用できるコードがインターネット上で公開されていると、セキュリティ専門家らが注意を呼びかけている。 French Security Incident Response Team(FrSIRT)が現地時間6日に出した勧告によると、このエクスプロイトコードは、Firefox 1.0.1またはそれ以前のバージョンにある脆弱性を悪用するものだという。 FrSIRTによると、このバグはFirefoxがGIF画像を処理する際の不具合に起因するもので、攻撃者は特殊な画像を作成し、それを載せたウェブページにユーザーを誘導したり、またはそれを挿入した電子メールをユーザーに送りつけることで、ユーザーのPCをコントロールできてしまうという。FrSIRTでは、この問題を「深刻」に分類している。 ただし、この脆弱性は3月にリリースされたFirefox 1.0.2
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
滋賀県の運営するサーバーに不正アクセス、テスト用IDの放置が原因
UFJ銀行を偽装した詐欺メールふたたび | スラド
はてなブログ | 無料ブログを作成しよう
