サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開:開発者にも、そして発注者にも安全なWebアプリの要件定義を OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。 OWASP Japanは2013年11月1日、「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。安全なWebアプリケーションを実現するため、開発を依頼する発注者側と、実際に開発を担う受注者側の双方が留意すべき要件についてまとめている。 The Open Web ApplicationSecurity Project(OWASP)は、Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体だ
HTML5 は、WHATWG および W3C がHTML4 に代わる次世代のHTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来のHTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
HTML5で生じる脆弱性と対策は? JPCERT/CCが報告書公開:HTML5を利用した安全なWebアプリ開発のために JPCERTコーディネーションセンターは、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた調査報告書を公開した。 JPCERTコーディネーションセンター(JPCERT/CC)は2013年10月30日、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。調査作業の一部は、ネットエージェントが委託を受けて実施した。報告書は、JPCERT/CCのWebサイトから無償でダウンロード可能だ。 次世代のHTMLとして注目を集めるHTML5は、
みずほ証券がテストの件に加えてもう一つ、東証の重過失に当たるとしたのが「システムの開発手法が適切ではなかった」点だ。開発ベンダーに適切な開発手法を求めなかったため、発注者である東証も責任を免れないとする。 開発手法が適切ではないことを説明するために、みずほ証券は具体的な事例を示した。東証がソースコードを修正する際に、「モジュール詳細定義」などのドキュメントを修正していなかった点だ。 東証はこの事実を認めた上で、「一旦コーディングが済めば、その後の修正は、全てソースコードを中心に行うことが最も効率的であるから、モジュール詳細定義を改訂していなかったことに問題はない」と反論した。「コーディングが済めば、ソースコード自体が、最も詳細なドキュメントである」というわけだ。 これに対してみずほ証券は、ソフトウエア工学の専門家による意見書を引用し、こうした東証の主張を真っ向から否定した。「システムを保守
![[論点3]どんな開発手法を適用すべきか](/image.pl?url=https%3a%2f%2fcdn-ak-scissors.b.st-hatena.com%2fimage%2fsquare%2fbed39b5962a5d552c95b6d796db8f55e72d32943%2fheight%3d288%3bversion%3d1%3bwidth%3d512%2fhttps%253A%252F%252Fxtech.nikkei.com%252Fimages%252Fn%252Fxtech%252F2020%252Fogp_nikkeixtech_hexagon.jpg%253F20220512&f=jpg&w=240)
2012/06/04 米Appleは、iOS 5のアーキテクチャやセキュリティ機構について解説した文書、「iOSセキュリティ」を公開した。米SANS Internet Storm Centerは、iOSに携わる仕事に就いているすべての人に一読を勧めている。 iOSセキュリティは、サンドボックスをはじめとするiOSの「システムアーキテクチャ」、パスワードを保護するキーチェーンなどについて説明する「暗号化とデータ保護」、SSLやVPNなどについて解説する「ネットワークセキュリティ」、MDMやリモートワイプなどについて説明する「デバイスアクセス」といった項目で構成されている。 SANSは、この文書はiOSの強化(ハードニング)ガイドではないが、iOSのアーキテクチャやサンドボックスをはじめとするセキュリティ機能について、よりよく理解する手助けになるものと評価。どのセキュリティ機能を利用するか
情報処理推進機構セキュリティセンター(IPA/ISEC)は2月1日、「情報家電におけるセキュリティ対策 検討報告書」(PDF)を公開した。 情報家電分野は今後市場が拡大していくと予想され、ネットワークに接続されることでウイルス感染や不正アクセスなどPCと同様のセキュリティ上の懸念が顕在化してきている。そこで、セキュリティ上の課題と解決の方向性、ネットワーク化が先行しているデジタルテレビを対象とした考慮すべきセキュリティ上の脅威と対策の一覧をまとめている。 「情報家電のセキュリティに対する課題と解決の方向性」では情報家電の市場が拡大していくために必要となるセキュリティ上の課題を「脅威の共通認識とセキュリティ対策の必要性」「情報家電市場形成の必要性」「業界としての連携と情報共有の必要性」「市場の牽引と発展」という4つの観点から整理。その解決策として「情報家電セキュリティ基準の確立」「マーケット
この文章は、 Dmitry A. Soshnikov さんの、 ECMAScript に関する優れた記事 "JavaScript. The Core." を許可を得て翻訳したものです。世の中に、JavaScript のブラウザAPI や、実装系に関する記事は多々あれど、 ECMAScript の仕様に則って、ここまで詳しく説明してくれている記事は殆ど無いと思います。今回は翻訳できておりませんが、文中で参照されている Dmitry さんの ES3 シリーズも、読み応えのある( ECMAScript3 の仕様の副読本としても読める)素晴らしい内容ですので、是非チャレンジしてみてください!(ご要望があれば訳します翻訳許可を頂いたので、この記事内で参照されている章から逐次翻訳を進めます!)。 ちなみに Dmitry さんは、計算機科学や数学にも明るい方でらっしゃいます。が、私は違います。極力
OAuth Core 1.0 Revision A 日本語訳 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サService Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレージサービス「photos.example.net」(Service Provider)に保存している自分のプライベートな写真データ(リソース)をこの「printer.example.com」に渡したいとします。OAuthを使えば、ユーザーは「pri
新入社員等研修向け情報セキュリティマニュアル 企業や組織の教育担当者や情報セキュリティ担当者に向けて、新入社員等に情報セキュリティに関する知識を教える際のガイドライン、研修資料のベースとなるような情報やトピックをまとめたものです。教育担当者や情報セキュリティ担当者向けのメッセージをコラム形式(「教育担当者・システム管理者の方へ」という囲み記事)で記載することで、新入社員向けのコンテンツとして直接利用できる部分と、そうでない部分を区別できるようにしています。 また、本編の補助教材として、初心者にセキュリティ意識を高めてもらうために、簡単なクイズ形式により、考え方やアプローチを身につけることを意識するように工夫してあります。本編と併せて、セキュリティ対策やインシデント対応に関する社内ルールの教育、研修等にご活用ください。
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月14日、「新入社員等研修向け情報セキュリティマニュアル Rev2」および「新入社員等研修向け情報セキュリティクイズ」を公開した。前者は、企業や組織の教育担当者や情報セキュリティ担当者に向け、新入社員等に情報セキュリティに関する知識を教える際のガイドライン、研修資料のベースとなるような情報やトピックをまとめたもの。 2010年度版では、変化の激しい情報セキュリティ関連の情勢を鑑み、2009年度版の構成を踏襲しつつ内容の全面的な見直しを行った。これに伴い、一部レイアウト要素も変更している。後者は、業務でPCを使用する場合に、覚えておくと参考になるようなTipsをクイズ形式で紹介するもの。選択肢から正解を選ぶ5つの問題が掲載されており、解答と解説、また不正解の選択肢の解説が詳細に掲載されている。 http://
Googleは、同社の「Google Docs」製品の内部に変更を加え、より高速なサービスとリアルタイムコラボレーションツールの提供を約束した。 「Google Apps」グループプロダクトマネージャーであるJonathan Rochelle氏は、今回の変更について、より高速性を求め、「Microsoft Word」や「MicrosoftExcel」などのオフライン製品群とのさらなる互換性を望むGoogle Docsユーザーからの多くのリクエストに応えるものとなっていると述べた。GoogleのエンタープライズグループプレジデントのDave Girouard氏は、米国時間4月12日にカリフォルニア州マウンテンビューで開催される同社のAtmosphereカンファレンスにて、この変更を発表する見通しである。Googleは、同社が提供するウェブベースのオフィスソフトウェアスイートへと企業が移行
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年の1年間(1月~12月)のIPAへの届出情報や一般に報道された情報を基に、「2010年版 10大脅威 あぶり出される組織の弱点!」をまとめ、2010年3月31日(水)からIPAのウェブサイトで公開しました。本資料は、IPAに届出のあったコンピュータウイルス、不正アクセスおよび脆弱性に関する情報や、インターネット等で一般に報道された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など120名から構成される「10大脅威執筆者会(本資料のP.35参照)」でまとめたものです。2005年から毎年公開しており、今年で6回目となります。 2009年には、「ガンブラー(Gumblar)」と呼ばれる手口(攻撃手法)をはじめとした、様々な情報ネットワー
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenIDSimple Registration Ex
2010 年 3 月 「安全なウェブサイトの作り方」 別冊 安全な S Q L の 呼び出し方本書は、以下の URL からダウンロードできます。 「安全なSQL の呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html 目次 目次.....................................................................................................................................................................................................2 はじめに.................................................
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
Googleが米国時間3月5日、またベイエリアの新興企業を買収した。今回は、DocVerseを「Google Apps」チームに加えた。 この買収(The Wall Street Journalの報道によると、買収額は2500万ドルだという)により、GoogleはDocVerseの「Microsoft Office」用プラグインソフトウェアをGoogle Appsに統合できるようになる、とDocVerseとGoogleはそれぞれの公式ブログへの投稿で述べた。DocVerseのソフトウェアおよびサービスの目的は、デスクトップ版Officeの強力な機能の多くを今でも必要としているOfficeユーザーが、オンラインで同僚と文書を共有したり、変更点を追跡したりできるようにすることだ。 今回の買収は少し前から予測されていたが、Google関係者はDocVerseの製品群がGoogle Appsに統合
印刷する メールで送る テキストHTML電子書籍PDF ダウンロード テキスト電子書籍PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。 同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。 改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTP
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
