[B! セキュリティ] uchoのブックマーク

ucho id:ucho

セキュリティに関するuchoのブックマーク (6)

クラウド普及で考えるべきセキュリティモデル
経産省らが主催したセミナーの講演で、奈良先端大の山口英教授はクラウドコンピューティングがセキュリティの「境界型防衛モデル」を崩壊させると指摘した。クラウド時代に求められるセキュリティとは何かを取り上げている。企業ITにおけるトレンドの1つにクラウドコンピューティングでは、どのようなセキュリティモデルを考えていくべきか――。経済産業省と情報処理推進機構、シマンテック、トレンドマイクロ、マカフィーが共催するセミナー「企業の情報セキュリティの課題と在り方」がこのほど都内で開かれ、奈良先端科学技術大学院大学の山口英教授がクラウド時代に必要なセキュリティをテーマに講演した。同氏は、「“セキュリティ意識 2.0”へバージョンアップせよ」と提唱している。山口氏は社会基盤のIT化が進んだことで、この2年ほどの間に社会インフラのさらなる効率化や最適化、新たな価値創造というニーズが高まり、クラウドコンピュ
ucho 2010/03/12
クラウド

セキュリティ

あとで読む
リンク
高木浩光＠自宅の日記 - 児童ポルノ単純所持処罰化とタイムマシン
■ 児童ポルノ単純所持処罰化とタイムマシン日曜が休日出勤だったので今日は代休をとった。先週末、はてブ界隈で児童ポルノ法改正の国会審議の話題が上がってきていたので、所謂「まとめサイト」を見たところ、参考人のアグネスチャンがずいぶん酷く言われていた。いったいどんなだったんだと、衆議院TVで録画を観たところ、そんなにひどい話ではなく、やはりネットのこの手の「まとめ」は真に受けてはいけないなと思った。それはともかく、与党案と民主党案の2つの法案が出ていて、法案提出者との質疑がなかなかディベートとして面白いものになっていた。単純所持での冤罪の懸念に関する議論では、コンピュータ技術に関わる部分があり、興味深い。まず、提出されている法案を確認しておくと、与党提出法案では、(1)目的によらず、「何人も、みだりに、児童ポルノを所持し、又は（略）記録した電磁的記録を保管してはならない」と、罰則なしで禁止
ucho 2009/07/04
自分の身を持って「何がオソロシイか」がわかるよ

セキュリティ
リンク
WSSEのセキュリティリスクとその対処法に関する一考察
引き続きiPhone SDKで遊んでいる私だが、Typepadやはてなが採用しているAtomを使ったiPhoneアプリを作ってみようとしたところで、WSSE認証の仕組みを（Objective-Cで）ゼロから作らなければならないことに気づき挫折しかける。SHA1のライブラリまで自前で用意しなければならないのはちょっと荷が重かったのだが、増井さん（masuidrive）からRFC中のコード（参照）が使えることを教えていただき、それを元に実装（持つべきものは友だ^^）。細かな間違いをいくつもしていた上に、WSSEの仕様を少し勘違いして始めたためになかなか動かず、はてなからステータスコード200がもらえたのは夜の１０時過ぎ。半日ぐらいで軽く作れると思っていたのに、結局丸一日かかってしまったが、「WSSEとは何ぞや」を何も知らないところから始めたのだから良しとしよう。しかし、WSSEの仕様に関し
ucho 2008/08/03
WSSEを実装するには自前でパスワードを持たなければならない。これはいろいろと問題な気がする。

webapi

セキュリティ
リンク
高木浩光＠自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり一昨年7月のWASフォーラムのイベントで話した以下の件。セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日誤った解説や必要以上に危機感を煽る報道に不満（略）アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
ucho 2007/04/08
セキュリティ
リンク
Webアプリケーション脆弱性チェックツール:Chorizo:phpspot開発日誌
Chorizo! Secure your webapplications on the fly! WebアプリケーションセキュリティチェックツールのChorizoの紹介。 Chorizo自体がプロキシとなり、そのプロキシを通して脆弱性をチェックしたいサイトを訪れることで次のようなツールボックスがページに表示され、このツールボックス上から各種セキュリティスキャンが出来るようです。 XSSチェックやPHP脆弱性チェック、SQLインジェクションチェック等ができるようです。 Chorizo! 設定ムービー動作ムービー
ucho 2006/07/27
webアプリ

セキュリティ
リンク
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめにウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサイトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとする。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうるウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
ucho 2006/04/07
webアプリ

セキュリティ
リンク
1