あなたのWebアプリケーションは安全か。Google製のセキュリティチェッカー·Skipfish MOONGIFT
SkipfishはSQLインジェクションをはじめWeb向けの脆弱性を発見するソフトウェア。 SkipfishはGoogle製のオープンソース・ソフトウェア。2011年になってセキュリティインシデント関係の話題が飛び交っている。特に大きいのはソニーだろう。あそこまでの規模は相当珍しいが、何も対岸の火事という訳ではない。 オプション セキュリティホールを狙うのは人間に限らない。日々クローラーがWebサイトにアクセスしてセキュリティホールを狙っているのだ。狙われる前にSkipfishを使って自主的にチェックしてみよう。 SkipfishはGoogleが開発したセキュリティチェックソフトウェアだ。ターミナルで動作するソフトウェアで、指定したURLに対してSQLインジェクションやXSSなどWebアプリケーションが狙われやすい脆弱性をついてくる。結果はHTMLベースのレポートとして出力される。 結果は
ウイルス罪法案、バグ放置が提供罪に該当すると法務省見解 | スラド YRO
セキュリティホールmemo経由、高木浩光@自宅の日記から。 第177回国会 衆議院法務委員会 平成23年5月27日午前の質疑応答で、バグの放置も不正指令電磁的記録提供罪が成立するとの法務大臣答弁がありました。 大口委員:その説明がない場合を問題にしているわけでございますけども……。まあ、そういう事例もあると。それから、プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。そして、たとえば無料のプログラムですね、このフリーソフトウェアを公開したところ、重大なバグがあると、ユーザからですね、そういう声があった、それを無視してですね、そのプログラムを公開し続けた場合は、それを知った時点で少なくとも未必の故意があってですね提供罪が成立するという可能性があるのか、おうかがいしたいと思います。 江田法務大臣:えー、あると思います。
僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog
ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。 ホワイトリストの分類 私の調査によると、ホワイトリストは以下の3種類に分類されます。 許可されたものの一覧表(第一種ホワイトリスト) セキュリティ上安全と考えられる書式(第二種ホワイトリスト) アプリケーション仕様として許可された書式(第三種ホワイトリスト) 以下順に説明します。 許可されたものの一覧表(第一種ホワイトリスト) ホワイトリストというくらいですから、本来のホワイトリストは
パスポート電子申請システム廃止で驚きの赤字額
電子政府化の掛け声のもとで、とんでもない無駄遣いが明らかになった。8月26日の読売新聞によると外務省が「旅券電子申請システム」を年内に廃止することを決めたという。以前から、このブログでも指摘していたが、アメリカ政府のリクエスト通りに唯々諾々として日本が進めてきた「電子政府化」という落し穴のひどさが、ここで明らかになった。 旅券(パスポート)を電子申請するシステムは04年から始まったが、その利用者は05年末までに133人しかいない。一方で、投下した費用は05年末までに21億3300万円と巨額で、ひとりあたりで割るとなんとパスポート一冊発行に1600万円かかるというから驚きだ。このシステムに対応しているのが12都道府県と少なく、また手続きも複雑であることから利用が伸びていないために、07年度の予算要求から外して同シテムの廃止を決めたという。 外務省旅券課に確認してみた。すると、システムを受注・
ソフトウェアの品質を上げるにはどうするべき? | スラド デベロッパー
ストーリー by hylom 2010年11月10日 14時47分 バグが何件出るかなんて予測できるの? 部門より ITproにて、「品質管理のやり方として正しいのはどれ? - 今日の腕試し!」なるクイズが掲載されている。品質を上げるの必要なのはバグ出しだけではないが、設問をつくるために敢えてバグ出しをターゲットにしたのだろう。それはいいのだが、個人的にみてこの3択には正解の要素が見受けられない。特に、正解をみてしまうと「今時、こんな方法をとっているベンダーとは疎遠になりたい……」と思ってしまう。 ちなみに、バグ出し(と、そのためのプログラム作り)には開発期間の半分はとるべきだと私は考えているが、そううまくいかないのも現実である。理想と現実に挟まれるSEやプログラマが多いであろうが、諸兄はどこを落とし所にしているのだろうか? ちなみに、私の現職は中小企業のシステム管理である。前職はプログラ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
