「Mozillaはユニークな環境。ここなら，自分のスキルを生かして業界全体に貢献できると考えた。」――。米Mozilla Corporationのセキュリティ最高責任者（Chief Security Something-or-Other）を務めるWindow Snyder氏は11月28日，ITproの取材に応え，Mozillaのセキュリティに関する取り組みなどを語った（聞き手は，勝村 幸博＝ITpro）。 Snyder氏はセキュリティ・ベンダー米＠stake（＠stakeは2004年に米Symantecに買収）に籍を置いた後，米Microsoftに入社。Security Engineering and Communications部門でSenior Security Strategistとして，セキュリティ・コンサルティング企業とMicrosoft製品チーム間の関係を管理し，同社のセキュリ

ちょっと前のエントリですが、SunでAjaxに注力されているGreg Murray氏が Ajaxで複数ドメインに渡ってデータを取得したい場合の対処としてプロクシ を用いる方法を紹介しています。 http://weblogs.java.net/blog/gmurray71/archive/2006/07/the_xmlhttpprox.html 他ドメインとデータをやりとりしたい場合はJSONPが一般的かなという感じがします。 FireFox限定で構わなければgreasemonkeyを使うという手もありますし、Flashなら crossdomain.xmlで対処するのが通例かと思います。 ですが、JSONPのようにクライアント側のスクリプトで対処する場合にはセキュリティ 上の不安もありますし、ブラウザがバージョンアップしてJavaScriptの実行に関する セキュリティを強くした場合に動作し

第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは？』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ

Hewlett-Packard（HP）は企業向けのペネトレーションテスティングサービスを10月に立ち上げ予定だが、顧客システムにワームを仕掛けようとしているという報道は否定した。 HPは英国時間7月4日、同サービスではハッカーと同じ技術を使って顧客のマシンへのアクセスを試みることを明らかにした。一方で、同社が使うエクスプロイトコードは制御されたもので自ら増殖することはないと説明した。 HP Labsで危機管理部門のマネージャーを務めるRichard Brown氏は「システムにアクセスする際にはハッキング技術を使うが、アクセス後にはそのシステムの安全化に務める」と語る。「ワームを仕掛けたり、ワームを増殖させる技術を使ったりはしない」とBrown氏はZDNet UKに語った。 このペネトレーションテスティングサービス「HP Active Countermeasures（HPAC）」は25万台の

インディアナ大学の研究によると、多くのWi-Fiネットワークが「ひどく安全性を欠いている」という。 同大学がインディアナポリスにある約2500のアクセスポイントを調査した結果、46％のアクセスポイントがいずれの暗号化技術も採用していないことが判明した。同調査はケンブリッジ大学で開催された「Workshop on the Economics of Information Security（情報セキュリティ経済に関するワークショップ）」のなかで発表された。 「利用者はWi-Fiのセキュリティについて無頓着であり、家庭にあるオープンなWi-Fiは格好のターゲットである」とインディアナ大学で情報科学の講師を務めるMatthew Hottell氏は述べた。「デフォルト（のセッティング）のままというのが多い」とHottell氏は付け加えた。 セキュアなネットワークで使われるルータのセキュリティは、エン

L が鍵長で N が被署名データのサイズです。 FIPS186-3 ドラフト案ではこの組み合わせの中から選択して使うべきとしています。 ところで署名・暗号に使う鍵の長さはどの程度が適当でしょうか。 確かに長ければ長いほど安全といえますが， 長すぎる鍵はとりまわしが不便です。 この件については IPA/ISEC による 「将来の暗号技術に関する安全性要件調査」 が参考になります。 詳しい内容はそちらを読んでいただくとして， 結論としては， 今後10年のスパンで考えるなら共通鍵暗号の鍵で128ビット程度で十分なようです。 128ビットの共通鍵暗号鍵を公開鍵暗号鍵に換算するとどの程度になるかは難しいですが（先ほど紹介した調査報告書では参考値としながらもかなり大きい鍵を要求しているように読めましたが）， これについては RSA Security による 「A Cost-Based Security

rootkitに詳しいセキュリティ研究者が、Windows Vista x64システム上でも「100％検出不能な」マルウェアについてコメントした。新技術を応用してマルウェアを作成可能とする実動プロトタイプ開発についてだ。 シンガポールに本社を置くITセキュリティ企業、COSEINCでステルス型マルウェアを研究するジョアンナ・ルトコウスカ氏によると、この新しいコンセプト「Blue Pill」は、AMDの仮想化技術「SVM/Pacifica」を利用して超軽量型のハイパーバイザーを作成するものであり、これによって下層にあるOSを完全に支配するという。 ルトコウスカ氏は、7月21日にシンガポールで開催される「SyScan Conference」および、8月3日にラスベガスで開催される「Black Hat Briefings」において、このアイデアを紹介するとともに、Vista x64用の実動プロト