T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
5分で絶対に分かるSSL-VPN − @IT
SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3
Officeファイルのプロパティに個人情報を保存させない
前回はOfficeファイルのプロパティを編集するためのツールを紹介したが、そもそもプロパティに個人情報を保存したくない場合、Office本体で設定可能だ。 前回、Officeファイルのプロパティを編集するためのツールを紹介したが、そもそもOfficeファイルのプロパティには個人情報をいっさい保存したくない場合も多いだろう。これらの情報はタグ付けとしては便利だが、実際には活用されていないことも多々ある上、Officeファイルを不特定多数に配布する場合は、個人情報の流出として問題となりかねない。 前回紹介した「納入助」のようなツールを用いれば、これらの項目は手動で編集が可能だが、ファイルを保存するたびにいちいちツールを起動して個人情報の削除を行うというのは、非常に面倒な話だ。 実は、単にOfficeファイルのプロパティに何も入力したくないだけであれば、わざわざこうした外部ツールを使わなくても、
高木浩光@自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった
■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール,情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 (1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略) (2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,
Windows Live OneCare PC セーフティ: PC の健康状態や安全性を保つための無料オンライン ツール
PC セーフティのスキャンを無料でお試しください Windows Live OneCare PC セーフティは、PC の健康状態を維持するための無料の新しいサービスです。 Windows Live OneCare PC セーフティのスキャンが行う内容は以下の通りです。 ウイルスの検知と除去ハード ディスク上の不要なファイルの削除PC のパフォーマンスの向上Windows Live OneCare PC セーフティは、Microsoft Windows XP/Server 2003/2000 上で動作します。また、プログラムの実行には Microsoft Internet Explorer 6 以上または MSN Premium が必要です。 お知らせ: Windows Vista をお使いの方は、Windows Vista 用の PC セーフティ ベータ版をお試しください。 PC
アエリア、ハードディスク30台が紛失--個人情報流出の可能性も
アエリアは5月29日、同社のデータセンターにおいて、同社の連結子会社であるゲームポットから委託されたサーバーのハードディスク30台が紛失していることが判明したと発表した。同社では盗難の可能性があるとみて、警察への届出を行い、内部調査を継続するとしている。また、紛失した30台のうち5台のハードディスクにはユーザーの個人情報が残っている可能性があるとしている。 5台のハードディスクに残っている可能性があるユーザーの個人情報は、ゲームポットのオンラインゲームのユーザー登録データで、「君主」のユーザーID、パスワード、性別、年齢3万7692名分およびメールアドレス1万4342名分、「スカッとゴルフ パンヤ」のユーザーID、ニックネーム、名前、住所、電話、メールアドレス1878名分、「プチコミ」のメールアドレス1万295名分(君主とプチコミについては、現時点で紛失した日時が不明なため、理論上の最大値
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
