http://tayori.com/blog/web-baitai/ 2015年10月29日 11:56URL: http://tayori.com/blog/web-baitai/ 取得日時: 2015年10月29日 11:56 削除理由: 著作権削除済み 手続日時: 2015年10月30日 19:12
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
クッキーとセッション管理
ご注意 このページでは,もし可能ならクッキーを使います。セッションクッキー(ブラウザを終了させれば消えるクッキー)です。 例 あなたは今回このページに 始めてですね(あるいはクッキーが保存されていませんね)。 再読み込みするか,別のページに行ってからもう一度このページを見てください。 <?php session_set_cookie_params(0, '/~okumura/'); session_start(); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>私のホームページ</title> <link rel="stylesheet" href="style.css"> </head> <body> <p>あなたは今回このページに <?php if (isset($_SESSION['c
セッションIDのみの認証はセキュリティレベルが低いのか - 岩本隆史の日記帳(アーカイブ)
はてなブックマークモバイル版の脆弱性 昨日、はてなブックマークモバイル版の脆弱性に関する報告が公開されました。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど キャッシュ機構の不備により、セッションID付きのURLを含むコンテンツページがキャッシュされてしまい、悪意のあるユーザが他人になりすます(セッションハイジャック)ことができたというものです。 セッションIDのみの認証なんてありえない? 報告記事に対する下記のブックマークコメントを目にしたとき、私は違和感を覚えました。 セッションIDのみの認証なんてありえない。そもそもセッションIDは認証に使うべきではない。せめて各種完了処理のときくらいはUID(NULLGWDOCOMO)もしくはFOMAカードor端末の製造番号(icc〜、ser〜)を使って認証し
開発者のためのiframe内アプリのセッション管理方法|【Tech総研】
開発者を悩ませるiframe内表示Webアプリ問題。前回はその現状についてお伝えしましたが、今回はiframe内Webアプリはどのようにセッション管理をしたらよいか、その管理方法について紹介します。 こんにちは、ミクシィの鈴木理恵子です。前回は「iframe内に表示するWebアプリではCookieを利用したセッション管理ができない場合があること」、そして「その背景には3rd Party Cookie問題などと呼ばれるユーザのプライバシーに関する問題があること」をお伝えしました。 前々回、iframeの利用例としてソーシャルアプリ型、ソーシャルプラグイン型、ブログパーツ型、ポータル型をご紹介したように、iframe内に表示するWebアプリは一般的で多くのユーザによって利用されます。そのため、開発者はユーザがどのブラウザを使っていても、アプリを狙い通りに動作させたいと思うでしょう。さて、Coo
開発者を悩ませるiframe内表示Webアプリ問題とは?|【Tech総研】
フレーム内に小さなブラウザのようにWebページを表示してくれる「iframe」。特別な技術は必要ないのに、さまざまな問題に直面してしまうことが多く、開発者を悩ませます。今回はこの問題について解説します。 こんにちは、ミクシィの鈴木理恵子です。前回は身近なWebの世界でよく使われているiframeを、利用シーン別に分類してご紹介しました。ソーシャルアプリ型、ソーシャルプラグイン型、ブログパーツ型、ポータル型がありましたね。 iframeはまるで小さなブラウザであるかのように、フレーム内にWebページを表示してくれます。そのため、iframe内Webアプリは、通常のWebサイトとほぼ同じ開発方法で作成ができ、特別な技術は必要ありません。しかし、全く同じ開発方法で問題ないかというとそうでもなく、そのままだとさまざまな問題に直面してしまいます。特に「Cookieを利用したセッション管理ができない場
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Open Source Web Design - Download and upload free web designs.