サービス終了のお知らせ いつもYahoo! JAPANのサービスをご利用いただき誠にありがとうございます。 お客様がアクセスされたサービスは本日までにサービスを終了いたしました。 今後ともYahoo! JAPANのサービスをご愛顧くださいますよう、よろしくお願いいたします。
独立行政法人情報処理推進機構(IPA)は、Web上の質問に答えるだけで自社のセキュリティ成熟度を計ることができる自己診断ツールの最新版「情報セキュリティ対策ベンチマークver3.3」を公開したと発表しました。 「情報セキュリティ対策ベンチマーク」は2005年8月から公開されているツール。セキュリティ対策についての40問の質問に答えると、組織の情報セキュリティ対策の整備・運用状況の自己評価ができるようになっています。評価はJISQ27001を参照して作成された25の項目に分かれて、グラフなど分かりやすい形式で表示。経営者、セキュリティ管理者が、自社のセキュリティ対策のレベルを項目ごとに確認できます。 このベンチマークを用いてSIerなどが手軽なコンサルティングサービスを提供することも想定し、質問の一覧や対策のポイント一覧などの資料がダウンロードできるように用意されてもいます。メールなどで顧客
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
先日のセキュリティソフトの調査で、フリーの総合環境で最も優れたウイルス検出率を示したのが「COMODO Internet Security」だ。高機能なアンチウイルスとファイアウォール機能がセットになっていて、日本語にも対応済み。さっそく導入と初期設定を解説していこう。 先日、マルウェア100体の検出率を調べたセキュリティソフト実験が話題となったが、実験結果の上位を占めたのは、有料ソフトと非常駐型の無料ソフトばかり。1位の「F-secure」と2位の「kaspersky」は有料ソフトだし、3位の「a-squared」と4位の「BitDefender」はフリーだが、常駐保護機能がないためOSの保護には使えない。5位の「ウイルスバスター」と6位「Gdata」も有料ソフト…・・・。 というように上から順に見て行って、フリーの総合セキュリティソフトで最も成績が良かったのが、6位の「COMODO I
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
「イージスガード」は Windows PC 上のデータをウイルスやマルウェアの脅威から守るためのソフトウェアです。KLab は個人向けにこのソフトウェアの無償公開を開始しました。 イージスガードには次の機能・特長があります。 所定のフォルダ・ファイルを保護対象として設定可能 許可しないプログラムからのアクセスを報告・記録する 許可しないプログラムからのアクセスを透過的にダミーフォルダへ誘導 PC 環境に応じて保護設定を自動生成する 改変されたプログラムからのアクセスを抑制する 有効なデジタル署名つきのプログラムには自動的に許可を与える イージスガードは、以前このブログでご紹介した「WinAmulet」を母体とする上位互換のソフトウェアです。WinAmulet ユーザ各位のご支援のおかげで、多くの機能を追加し大きく性能を改善したこの新しいソフトウェアが生まれました。もちろん、WinAmule
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回:ケース別、攻撃の手口を読んで感じたことを書きたい。 まず、この記事は以下のような書き出しから始まっている。 本記事は、システムを防御するにはまず敵を知らなければならない、という意図の下に、攻撃手法を紹介する。 dfltweb1.onamae.com – このドメインはお名前.comで取得されています。 この趣旨に異論があるわけではないが、しかしこの表現は誤解を生みやすいものだと思う。 というのは、「敵」(攻撃方法)を知ったからと言って、防御の方法が導き出せる訳ではないからだ。例えば、開発者が「最近のSQLインジェクションの自動化攻撃にはT-SQLのDECLARE文が用いられる」という情報を得て独自に対策を考えた場合、DECLAREという単語をチェックしてエラーにしたり、単語を削除することを考えがちだと思う。現に
「HTTPSの証明書エラーが出るサイトで個人情報などを入れては駄目」とネトランでも常日頃書いているが、「なぜ」という疑問を持っている人もいるのではないだろうか。「HTTPSのサイトを利用して個人情報を盗み出す手口」の概要が分かるツール「burp proxy」で、情報窃盗攻撃の仕組みと、HTTPSエラーの怖さを紹介する。 「HTTPSとは」「証明書エラーとは」、という話を長々と書くスペースがないので簡潔にまとめる。 HTTPSのサイトで行われている情報は暗号化されており、ネットワーク盗聴では盗まれない通信相手が本物かどうか判定するために証明書が必要この二点から素直に「証明書エラーサイトでは個人情報を入れないようにしよう」と思える人ならそれで良いのだが、以下のような疑問が出るかもしれない(というか出る人の方がむしろ正しい)。 「偽物」とは例えばいわゆるフィッシングサイトだが、「フィッシングサイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く