Amazon.co.jp: アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing): 新井悠, 岩村誠, 川古谷裕平, 青木一史, 星澤裕二: 本
第1回 SELinuxのアクセス制御をデータベースでも 海外 浩平 日本SELinuxユーザ会 2007/8/3 セキュアOSを実務で使うことに食指が動かない理由は、もしかしたら「キラーアプリの不在」なのではないだろうか。本連載では「日本のセキュアOSを支える5つのプロジェクト」でも取り上げられている、セキュアOSのキラーアプリになりうる可能性を秘めた日本発の拡張機能「SE-PostgreSQL」を紹介する。(編集部) SE-PostgreSQLが目指すもの 情報システムのセキュリティを確保するうえで、アクセス制御はその中核となる技術です。 身近なところでは、ファイルの所有者とパーミッションによるアクセス制御はその典型例ですし、データベースに対してはSQLのGRANT/REVOKE構文を用いてアクセス制御リスト(ACL)を設定することができます。 しかし、これらの機能は各コンポーネントが独
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
ロンドン(London)の金融街「シティ(City of London)」に来年からに設置される、耐爆性のリサイクル回収箱のイメージ画像(2008年11月3日提供)。(c)AFP 【11月4日 AFP】ロンドン(London)の金融街「シティ」に来年から、内部での爆弾爆発にも耐えうるリサイクル用回収箱が導入されることが明らかになった。この回収箱の製造企業Media Metricaが3日、発表した。 この回収箱は、側面についたLCD(液晶)パネルでニュースや天気予報などを表示させることができる。製造・設置の費用は1台あたり約3万ポンド(約470万円)だという。 Media Metricaは、この回収箱の製造・設置・保守管理などでシティ当局と15年間の契約を結んだという。同社幹部によると、同社は現在、ほかの企業スポンサーなどとも交渉を行っており、来年3月末までに契約を締結したい構えだという。契
Adobeは米国時間10月7日、攻撃者が「Flash」のセキュリティ設定を変更できるという重大な問題に対する回避策を発表した。 WhiteHat Securityの最高技術責任者(CTO)であるJeremiah Grossman氏が9月にブログに投稿した内容によると、「クリックジャッキング(clickjacking)」という言葉は、「攻撃者がユーザーをだまし、ほとんど気付かないか、気付くチャンスが一瞬しかないような何かをクリックさせるような攻撃手法」に付けられた名前であるという。また同氏は、「クリックジャッキングへの対策は主としてブラウザベンダーの双肩にかかっている」と述べたものの、自身とRobert Hansen氏は協議のうえで、これ以上の詳細情報の公開を控えるとともに、最近開催された「OWASP NYC AppSec 2008 Conference」で行う予定だった討論もAdobeから
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-27 10:55 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。 これを発見したのは、Robert Hansen氏とJeremiah Grossm
「ARP spoofing HTTP infection malware」より December 21,2007 posted by Kai Zhang, Security Researcher 2007年は,ARPスプーフィングという手口を使うウイルス(ARPキャッシュ・ポイズニング・ウイルス)が数多く登場した。この種のマルウエアからは大量の亜種が派生し,中国で広く流行している。先ごろ筆者らは,新たな特徴を持つARPスプーフィング・ウイルスを見つけた。 この新種のARPスプーフィング・ウイルスは,HTTP応答のセッションに攻撃用URLを挿入する。そして,怪しげなコンテンツでInternet Explorer(IE)を悪用する。同時に,コード挿入でポイズニングしたホスト・コンピュータをHTTPプロキシ・サーバーとして使う。このホストと同じサブネットにあるマシンからのインターネット・アクセス
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
オンラインで活動する攻撃者らが、主要企業の幹部500人を攻撃対象にしていたことを、セキュリティベンダーのMessageLabsが明らかにした。これは、悪質なソフトウェアを使って特定多数を狙う初めての攻撃だとされている。 標的型攻撃は、標的に対して個々に対応した電子メールを送ることで、セキュリティ対策を回避することを狙いとしている。また、こうした電子メールにはたいてい、ゼロデイ脆弱性のエクスプロイトが含まれている。 MessageLabsは米国時間6月26日、世界各国のさまざまな組織の上級管理職個人をターゲットにした500件以上の電子メール攻撃を確認した。MessageLabsのチーフセキュリティアナリストであるMark Sunner氏によると、MessageLabsで通常見つかる標的型攻撃は、1日あたり2億通の電子メールに約10件だという。 この悪質な電子メールの件名には、被害者の名前と役
Generative AI will drive a foundational shift for companies — IDC
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
米IBMは1月26日、Web上で身元など自分の個人情報を隠すことができるソフトウェア「Identity Mixer」を開発したと発表した。同ソフトはスイスのチューリッヒにあるIBM研究所で開発されたもので、インターネットで商品やサービスを購入する際、自分のIDを隠すことを可能にする。 オンラインで音楽をダウンロードしたり、ニュースレターを有料購読する場合、消費者は個人情報とともに購入の規模、頻度、購入先などの情報をWeb上に残すことになり、これらをたどればユーザーに行き着くことができる。Identity Mixerでは、偽名などの偽情報を使ってこの形跡を消し、たどれないようにする。例えば、クレジットカード番号を公開しないまま、オンラインショッピングができるようになる。また銀行口座の残高を教えなくても使用可能な上限を知らせたり、誕生日を入力しなくても成人であることを立証することが可能になる。
【トレンド解説】その仕組みと概要、今後の展望 無線LANセキュリティの本命IEEE 802.11i登場 鈴木淳也(Junya Suzuki) 2004/6/4 無線LANセキュリティ技術の本命である802.11iの標準化がこの6月に完了する。従来のWEPを置き換えるべく登場する無線LANのセキュリティの新規格。その仕組みと概要、今後の展望を解説する。 無線LAN業界が待ち望んでいた規格がいよいよ登場する。それがIEEE 802.11iだ。802.11iは、無線LANのセキュリティにおいて従来のWEPを置き換えるべく登場した、無線LANセキュリティ技術の本命だ。今年2004年6月に標準化が完了する見込みであり、暗号化通信技術のWPAが標準化されたときと同じように、すべてのWi-Fi準拠をうたう無線LAN機器で802.11i標準サポートが要求されることになるとみられる。標準化後に製品を買うのが
さまざまな経路で忍び込むボット、その感染を防ぐコツは?:年末緊急特番!ボットネット対策のすすめ(1/3 ページ) ひとたび侵入されると外部への攻撃に加担させられたり、重要な情報の漏えいにつながる恐れがあるボットだが、その多くはPCへの感染にOSの脆弱性を利用している。 では、ボットの感染を防ぐには、常にパッチを適用してOSの脆弱性に対応すればいいかというと、そうとも限らない。前回説明したように、最近ではインターネット上から何らかの追加モジュールをダウンロードしてくる「ダウンローダ」タイプのトロイの木馬が増えており、このダウンローダを通じてボット化される場合も存在する(関連記事)。また、ゼロデイ攻撃を通じて侵入したり、アプリケーションの脆弱性を狙うボットも登場している。 OSの脆弱性だけではない感染経路 では、このトロイの木馬は、いったいどこからどうやってインストールされてくるのだろう。主な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
