第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
【初級】暗号・認証技術を基礎から理解する 前編:ITpro
情報データを様々な攻撃から守る安全なシステムを構築するためには,セキュリティ技術の理解が欠かせない。ここではセキュリティ確保の中核技術とも言える,「共通鍵/公開鍵暗号」,「デジタル署名」,「バイオメトリクス」といった暗号・認証技術を取り上げ,基本的な仕組みや利用動向を解説する。 今や日本の企業のほぼすべてがインターネットを利用しており,一般家庭を見ても利用人口は約5割に達するという。ITは水道や電気と並ぶ,欠かすことのできない社会インフラとなった。 しかし,コンピュータの数が増え,ユーザーが様々なサービスを享受できるようになった一方で,深刻な問題が発生してきた。それは,一つひとつのコンピュータに監視の目が行き届かなくなり,悪意のある人間による不正操作が行われやすい環境になってきたということだ。実際に,コンピュータ上のデータが盗まれたり,改ざんされるといった事件が多発するようになり,連日のよ
フリーメールの盲点
検索サイトやポータルサイトなどが提供するフリーメールを利用するユーザーが増えている。従来,フリーメールには「POPが使えない」「広告が入る」などの使いにくさがあった。しかし,いまではそれらが改善されるとともに,メールボックス容量の拡大やウイルス・チェックなどサービス内容が充実してきている。 そのため,フリーメールをメインに使う,メインとまではいかなくても使い込むユーザーが増えている。しかし,フリーメールを使ううえで注意すべきポイントがある。一部のフリーメールは,一度割り当てたメール・アドレスをそのユーザーが利用中止したあとにほかのユーザーに割り当てることである。いわゆる再利用を認めているサービスがある。 ISPが提供する有料のメール・サービスは,ユーザーが退会したらそのメール・アドレスは永久欠番としているところが大半である。永久欠番ならば,同じメール・アドレスをほかのユーザーが使うことがな
フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト:ITpro
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
