大日本印刷、業務に支障をきたす恐れがあるため「Pマーク」取り消し処分なし | スラド
大日本印刷が800万件以上の個人情報を流出させた事件はまだ記憶に新しいが、NIKKEIによれば、日本情報処理開発協会が大日本印刷のプライバシーマーク(Pマーク)を取り消さないことを発表したようである。Pマークは個人情報を適切に取り扱う企業に対して日本情報処理開発協会が発行する認定マークであるが。協会のリリースを読んでも、原因特定や改善策の実施といった改善要請にとどまっている。NIKKEIの記事では、「金融機関、電話会社や自治体があて名印刷など個人情報を取り扱う業務を外部委託する際、委託先選定の条件にPマーク取得を含めているケースが多い」ということで、大日本印刷のシェアが大きいために取り消しを見送ったとしている。凸版印刷あたりは抗議してみる価値があるのではないかと思ったが、そもそもこれならPマークなんてのも要らないのではなかろうか。
機能変更、お知らせなど - はてなの日記 - はてなサーバーへの不正な侵入について
はてなサーバーへの不正な侵入について 本日、はてなのサービスを提供する2台のサーバーに、先週金曜日より不正な侵入が行われていたことが判明しました。 はてなでは本日午前4時頃にこの事実を認識し、午前6時頃に不正なアクセスの遮断を行いました。また、現在継続的に詳細な調査、対策を行っております。 今回の不正侵入は、はてなサーバー群の入り口に当たるサーバーのうちの2台に対して、サーバーのログイン情報を機械的に総当たりする方法によって行われました。不正侵入に成功したアカウントにより、ftp scanner, irc botプログラムが設置され、外部に対して実行されるという被害が発生しました。 はてなではさらに、内部に存在するデータベースサーバーなどへのアクセスの形跡などについて調査を行いましたが、これらの形跡は発見されておらず、データベース上のユーザー情報が取得されたり、皆様にご利用いただいているサ
子猫認証 | 秋元@サイボウズラボ・プログラマー・ブログ
via del.icio.us/popular スパム行為を行うロボットスクリプトを、正規の人間ユーザとどう見分けるか、ということで、「プログラムには(まだ)わからないけれど人間なら簡単にわかる」ような問題を使う、という方法はよく使われる。いわゆる CAPTCHA (キャプチャ)である。 CAPTCHA と言うと、まず思い浮かぶのは、ぐにゃっと曲げられたり上から線をかぶせられたりした文字列を入力させられるものだろう。機械読み取りでは認識できないように文字列を崩すことで、スクリプトの攻撃をある程度防いでいる。 しかし、特に意味のあるわけでもない読みづらいテキストを、投稿のたびに入力させられるのは、利用者にとってあまり楽しい作業とは言えないだろう。サービスがスパムで汚染されるのを防ぐために、仕方なく協力しているというところだ。 であれば、CAPTCHA の入力が、それなりに人間にとって楽しかっ
えび日記: CSRFの説明に追記 - こめんと (2006-03-30)
■ [Security] えび日記: CSRFの説明に追記 (4/2、この項に別記事で追記。) ええと、この議論はずっと続いていますね。こういう時間かかる話はできれば年度明けてからやろうよ(笑)。 ※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。 (「えび日記」より引用) この脆弱性の存在を根拠に「いわゆる高木方式は良くない、安全な他の方式にすべきである」という議論がよくあります。 いつも反論してるのですが、割と議論が噛み合わないのは、ひょっとしたら僕が「いや、高木方式で安全なんだ」と 主張しているように思われているのかなぁ、とふと感じました。 実はそうじゃないんですよね。僕の主張は、「い
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
