SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。
Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 | Amazon Web Services
Amazon Web Services ブログ Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 はじめに AWS では、サービス毎にセキュリティのベストプラクティスを公式ドキュメントとして提供しています。本記事では AWS を利用したシステムのセキュリティの検討や実装に関わる皆様を対象に、AWS の代表的なストレージサービスである Amazon Simple Storage Service (S3) を題材にとりあげて、公式ドキュメントで紹介しているベストプラクティスの実装方法をできるだけ具体的に解説したいと思います。 IT セキュリティにおいては、一つの脆弱性や悪意がセキュリティ事故に直結しないようにシステムを多層的に保護する事が重要です。AWS においても、サービスが提供する機能を適所でご利用いただければ多層化されたセキュリティ保護策を、クラウ
パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵
パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。 What’s in a PR statement: LastPass breach explained | Almost Secure https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。 声明内容にも1段落目から厳しい目を向けています。LastPassは「透
キャリアって何だ? 自分らしい強みを活かし、蓄積することで、到達するありたい姿 Will:何がしたいのか Can:何ができるのか Must:何を求められているのか スキルの寿命は短くなり、キャリアの形成期間は長期化の傾向にある。 自らのキャリアアンカーを知る 長期的な方向性の道しるべとして「キャリアアンカー」を活用する。 エドガー・H・シャイン(Edgar Henry Schein)博士によって提唱されたキャリア理論 築き上げてきたキャリアに基づいた、生涯にわたってぶれない自己欲求・または自己が望む価値観 まずは「セルフアセスメント(40問)」を実施し自分のタイプを把握しておく 8つの分類(専門・職能別 / 全般管理 / 保障・安定 / 起業家的創造性 / 自律と独立 / 社会への貢献 / ワークライフバランス / 純粋なチャレンジ) ※注意:8つの分類とは違うキャリアアンカーを持つ人もい
AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定
3/1に実施したNRIネットコムウェビナーの資料です。 https://www.youtube.com/watch?v=3yqNmB77ll4
「これは間違えるよ...」日本医師会の適正体重計算サイトの仕様で体重がすごいことに→入力欄でコードを実行できることが発覚しセキュリティの議論へ発展
私もこのサイトで間違えたことあります
2022年4月8日に行われたAWSトレーニング・人材育成ウェビナーの資料です。 詳細な解説は以下ブログを参照してください。 https://dev.classmethod.jp/articles/220408-training-webinar-aws-security-management
「セキュリティエンジニアのための English Reading」が公開されました - 午前7時のしなもんぶろぐ
お久しぶりです。しなもんです。 ここ数ヶ月作成していた「セキュリティエンジニアのための English Reading」が無事 IPA のサイトで公開されましたのでここで紹介させていただきます。 日本のセキュリティエンジニア全員に是非!是非!ご覧いただきたい内容に仕上がっていると自負しておりますので (誇張あり)、どうか冷やかしでも一度ご覧いただけると幸いです。 www.ipa.go.jp 中核人材育成プログラムとは プロジェクトの背景 「セキュリティエンジニアのための English Reading」紹介 Awareness ~英語情報の重要性を理解する~ Practice ~より「楽に」「上手く」読む~ Training ~リーディング力を鍛える~ セキュリティ英単語集 特長①: セキュリティニュースで「実際に使われている」単語を厳選 特長②: セキュリティならではの意味・使用例を掲載
RHEL9での変更点(セキュリティ編:Part1 SELinuxの無効化について) - SIOS SECURITY BLOG
SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる(システムがハングすることがある)というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると(タイミングの問題だと思いますが)下記のようにブート中にシステムが
Docker をフル活用して金融業界のシビアなパフォーマンス、セキュリティ要件に対応している株式会社Finatext石橋さんに、難しいポイントやアーキテクチャ上の工夫を伺いました – 後編 | Amazon Web Services
AWS Startup ブログ Docker をフル活用して金融業界のシビアなパフォーマンス、セキュリティ要件に対応している株式会社Finatext石橋さんに、難しいポイントやアーキテクチャ上の工夫を伺いました – 後編 みなさんこんにちは、スタートアップソリューションアーキテクトの塚田(Twitter: @akitsukada)です。前編に続き、株式会社Finatext の石橋さんにお話を伺っていきます! 後編では、アーキテクチャや技術の選定をどのように考えてきたか、FinTech スタートアップとして不可避であるセキュリティ・コンプライアンスの高い要求をいかに合理的に対応してきたかなどをより深くお伺いします。 目次 前編 Finatext、スマートプラスと石橋さんについて 会社とチームが大きくなるにつれて生じた、創業期からの変化 FinTech、証券業界特有の技術要件とは?市場に合わせ
総務省 | 国民のためのサイバーセキュリティサイト
セキュリティエンジニアのための機械学習
情報セキュリティのエンジニアや研究者を読者対象とした機械学習の入門書。フィッシングサイト、マルウェア検出、侵入検知システムなどの情報セキュリティ全般の課題に対して、機械学習を適用することでどのようなことが可能になるのか? 本書ではサイバーセキュリティ対策でとても重要なこれらの知識を実装レベルで身につけることができます。また、どうすれば機械学習による検出を回避できるか、という点についても同時に解説します。サンプルコードはPython 3対応。Google Colaboratory上で実際に手を動かしながら学ぶことができます。 訳者まえがき まえがき 1章 情報セキュリティエンジニアのための機械学習入門 1.1 なぜ情報セキュリティエンジニアに機械学習の知識が必要なのか 1.2 本書のコードサンプルの実行環境 1.2.1 Google Colaboratory入門 1.2.2 GPU/TPUラ
「企業の機密データをChatGPTに勝手に入力したことがある」という社会人が大量発生しておりセキュリティ上の懸念が高まっているとサイバーセキュリティ企業が指摘
企業が保有する機密性の高いビジネスデータやプライバシー保護されているはずの情報を、従業員が勝手にChatGPTなどの大規模言語モデル(LLM)に入力しているケースが多数検出されていると、データセキュリティサービスのCyberhavenが指摘しています。 3.1% of workers have pasted confidential company data into ChatGPT - Cyberhaven https://www.cyberhaven.com/blog/4-2-of-workers-have-pasted-company-data-into-chatgpt/ Employees Are Feeding Sensitive Business Data to ChatGPT https://www.darkreading.com/risk/employees-feeding
AWSやGCPといったクラウドサービスのセキュリティ項目を無料で監査できるオープンソースソフト「Scout Suite」レビュー
AWSやGCP、Azureといったクラウドサービスには数多くの設定があり、セキュリティ上の問題に設定画面から気づくのは難しい場合もあります。無料のオープンソースソフト「Scout Suite」では、各クラウドのAPI機能を利用して、クラウド上に構築した環境の設定に対し、セキュリティの問題がないかの監査を行うことが可能です。 GitHub - nccgroup/ScoutSuite: Multi-Cloud Security Auditing Tool https://github.com/nccgroup/ScoutSuite Scout Suiteが記事作成時点で正式に対応しているサービスは、AWS、GCP、Azureの3サービス。Alibaba CloudとOracle Cloud Infrastructureには実験的に対応しています。今回はGCP上のプロジェクトに対し、Scout
ゆうちょ銀行は11月9日、不正送金や不正アクセスによる情報流出などの被害が見つかったプリペイド機能付きVISAデビットカード「mijica」について、セキュリティ対策の実施状況を点検したところ、22項目中14項目が不十分だったと発表した。 ゆうちょ銀行は10月、悪意のある第三者が任意のアカウントに不正ログインし、不正利用する事案が発生したと明らかにした。11月9日までに確認できた不正送金の被害は6件。mijicaのユーザー向けWebサイト「mijicaWEB」で起きた不正アクセスでは1422人のユーザー情報が閲覧された可能性がある。 同行は池田憲人社長が直接指揮するタスクフォースを設置。サービスのセキュリティ体制をチェックした。調査の結果「アカウント登録時に複雑なIDやパスワードを十分に求めなかった」「送金時の認証が必須になっていなかった」などの不備が14項目見つかった。 送金機能やユーザ
スタートアップ企業で始めるAWSセキュリティ対策 ~内部統制の観点から~ / AWS Security and Internal Audit at a Startup
「Security-JAWS【第27回】」で発表した資料です。 https://s-jaws.doorkeeper.jp/events/146327 「クラウドセキュリティエンジニアブログ」 Security-JAWS【第27回】で「スタートアップ企業で始めるAWSセキュリティ対策 ~内部統制の観点から~」というタイトルで登壇しました https://devblog.nuligen.com/entry/20221205/1670215672
Goの初心者から上級者までが1年間の学びを共有する勉強会、「GeekGig #1 ~Goと私の一年~」。ここで株式会社Showcase Gigの高橋氏が登壇。マイクロサービスセキュリティの難しい点と、認証認可の実施方法を紹介します。 自己紹介 高橋建太氏(以下:高橋):「認証認可とGo」について説明します。まず自己紹介です。現在Showcase GigのPlatformチームに所属しています。主に認証認可の機能を担当しています。高橋建太です。 週1回会社でGoの知見を共有したり、ドキュメントを読んだり、Goについてみんなで話す緩い勉強会を主催で開催しています。もし合同で勉強会やりたい方がいれば、気軽に連絡してください。ぜひやりましょう。 「O:der」について まず前提知識として、「O:derとは?」について、あらためて説明します。ちょっと内部寄りな説明となり、実際のものは若干スライドの図
SwitchBot Japan(スイッチボット) @SwitchBotJapan IoTデバイス累計販売台数No.1のスマートホームブランド「SwitchBot」公式です。 スマート家電&ガジェット&IoT製品などに関するSwitchBotの最新情報をお届けします。 皆の使い方チェック:#SwitchBotのある暮らし 💖 お客様向けお問い合わせ:support@switchbot.jp switchbot.vip/3mvymiQ
連載目次 納品したシステムにSQLインジェクションなどの既によく知られた脆弱(ぜいじゃく)性がある場合、たとえその対応策が要件として定義されていなくても、ITの専門家であるベンダーには、そのことに気付き、ユーザー企業に注意喚起し、提案する責任がある。この問題を「ユーザーvs.ベンダー」という構図で見た場合の裁判所の考え方は、これまでの例を見る限り、ある程度の一致を見ているようにも思われる。 同じ問題を「ベンダーという企業vs.そこで働くエンジニアという個人」という図式で見た場合はどうだろうか。顧客に納品したシステムにセキュリティ上の不備があった場合、その責任はシステムを構築したエンジニアにあるのか、そのエンジニアを選任し、作業を監督する責任のあるベンダーにあるのか。 不備の責任は企業と従業員のどちらが取るべきか? 「従業員は会社内部で責められることはあっても、対外的には会社が責任を持つべき
ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)に合格してきた - サーバーワークスエンジニアブログ
出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正答率70%以上で合格 詳細はこちらをご確認ください。 ウェブ・セキュリティ基礎試験(徳丸基礎試験) 試験内容 出題範囲も上記リンク先に記載ありますが、徳丸本の目次と完全に一致しています。 その範囲からというのは間違いはないですが、検証環境の構築方法などは実際は試験に出ません。 同ページの動画でもおっしゃられていましたが、「ツールの使い方よりもセキュリティの原理を学んでほしい」ということのようです。 実際に受験し終わった後の感想としても確かにそのような感じでした。 様々な脆弱性に対し、その原理を知り、どの対策が効果的かを選択できれば、合格点取
IPAが2021年度の「情報セキュリティ10大脅威」を発表しました。本稿は、その中から前年のランク外から急上昇した脅威と、筆者が個人的に注目しているものをチェックしていきます。
Security by builders - セキュリティ監視をクラウドで「つくる」 / Security by builders
Security by builders - セキュリティ監視をクラウドで「つくる」 / Security by builders
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。 「われわれはどのくらい安全なのか」「なぜセキュリティのためにもっとお金が必要なのか。1年前に『X』を承認したばかりなのに」「インシデントが4件発生したのはどういうことなのか。君が全てを管理下に置いていると思っていた」 おそらく、セキュリティやリスク管理のリーダーのほとんどは、何度も取締役会でこうした質問をされたことがあるだろう。 「問題は、これらの質問の中には答えようがないものも含まれていることだ」と、Gartnerのディレクターアナリストを務めるサム・
ガイドラインへのリンクは、PDFではなく、本ページ(https://www.soumu.go.jp/main_sosiki/cybersecurity/wi-fi/)へのリンクとしていただけますようお願いします。 自宅Wi-Fi利用者向け 簡易マニュアル(令和6年3月版) 総務省では、自宅Wi-Fiの利用者に対し、安全な自宅Wi-Fiの利用のために必要なセキュリティ対策等に関する理解を深めていただくことを目的としたガイドラインとして、「自宅Wi-Fi利用者向け 簡易マニュアル」を作成しています。 セキュリティ対策の3つのポイントとして、 ポイント1 セキュリティ方式 は「WPA2またはWPA3」を選択しよう ポイント2 パスワードは第三者に推測されにくいものにしよう ポイント3 ファームウェアを最新の状態にしよう を示すとともに、わかりやすく解説を加えています。 なお本マニュアルは動画でも
カード情報漏えいやマルウェア(ランサムウェア)の歴史から徳丸氏が明かす「セキュリティはいたちごっこ」になる理由
サイバー攻撃者が狙う穴を、防御側はふさぐよう努力する。するとサイバー攻撃者も工夫に工夫を重ね、新たな攻撃手法を使い出し、かつての常識はいつの間にか非常識に変化する――そういった“いたちごっこ”が、サイバーセキュリティの世界では繰り返されている。この歴史を読み解くと、見えてくるものもあるかもしれない。 「Webアプリケーションセキュリティのバイブル」ともいえる“徳丸本”こと『体系的に学ぶ 安全なWebアプリケーションの作り方』(SBクリエイティブ)の筆者、徳丸氏が、クレジットカード情報の漏えい対策、そしてマルウェア対策のこれまでの歴史から、この“いたちごっこ”を総括した。私たちが進むべき次の一歩を考えるためのセッションとなった。 セキュリティはいたちごっこの連続 徳丸氏は、「いたちごっこ」の事例として昨今も報道が絶えることのない「クレジットカード情報漏えい」を取り上げる。クレジットカード情報
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
約30億円相当の仮想通貨不正流出を起こした仮想通貨交換業者のビットポイントジャパン(BPJ)は、16日に行った緊急記者会見の中で「ホットウォレットの秘密鍵の暗号化」など、複数のセキュリティ対策を実施していたことを明らかにした。 流出が起きたのは、BPJが管理する仮想通貨であるビットコイン、ビットコインキャッシュ、イーサリアム、リップルの5銘柄。オンライン環境で迅速な出金ができる「ホットウォレット」に入金していた資産の大半が流出したという。流出したのは全てホットウォレットからで、送金を承認する秘密鍵をオンライン上で管理しない「コールドウォレット」からの流出は確認されなかった。 “二重のセキュリティ対策”にもかかわらず…… 流出した各仮想通貨のホットウォレットは「マルチシグ」に対応していた上、秘密鍵自身も暗号化していた。マルチシグは、送金の承認に複数の秘密鍵を必要とする技術。つまり、マルチシグ
セキュリティ主要7分野・脅威の進化と対応 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちは、技術広報の菊池です。 セキュリティの確保は技術的な課題にとどまらず、お客様の満足、さらには企業の存続に直結する重要なトピックスです。 私たちSaaS企業も例外なく、常に変化する脅威にさらされており、日夜対策のアップデートが求められますので、 私も自身の理解を深めるためにキーワードと各分野の歴史をまとめてみました。 本記事で取り上げるセキュリティ主要7分野では、新しい技術の登場と共に、新たな脅威が絶えず発生し、その対策の進歩も伺えました。 今回は、アプリケーション、ネットワーク、エンドポイント、データ、クラウド、アイデンティティとアクセス管理、インシデント対応と復旧のセキュリティについて、 その概要と1980年代〜現代に至るまでの歴史、脅威と対応策の進化を総括しました。全てはカバーしきれませんでしたが、代表的なツールも紹介しています。 それぞれの分野では個別の発展があり
この記事に記載されている内容を、実際に試して発生した損害に対していかなる責任も負いません(補償しません)。 すべて自己責任のもとで行ってください。 リリースされているアプリやゲーム、ソフトウェア利用許諾契約(EULA)やアプリケーション利用規約などでリバースエンジニアリングは禁止されています。 実際に試す場合は、自分で開発しているアプリやゲームや脆弱性確認用でリリースされているアプリやゲームを使いましょう。 はじめに ハック(攻撃)と対策(防御)は表裏一体です。どのようなハックが行われるのかを知らないと対策は行えません。 ハックする側の方が、時間や対応者の人数など基本有利です。 日々新たな問題が発生しています。最新の情報を常に確認する必要があります。 リンクは、すべて目は通していますが、すべてを試しているわけではありません。 上手くいかない、よくわからないなどはキーワードをピックアップして
GitHub Copilot を業務で利用するとなると、以下の 2 つの懸念がある。 自社のプライベートなコードが GitHub Copilot に送信され、学習モデルとして使われ、外部に流出してしまわないか 自動生成されたコードが学習モデルとなった public なコードのライセンスを侵害してしまわないか 1 については、コードの一部なら大きな問題にはならないと思われるが、もし一時的にエディタに貼っていたクレデンシャルが送信されて外部流出してしまう可能性があるのであればリスクが低いとは言いづらい。 2 については、ライセンスを侵害すること自体がリスクである。それに加えて、GitHub Copilot がよそのライセンスを侵害する可能性があることがあとから発覚した場合、それまでに GitHub Copilot を使って書かれたコードすべてを精査しなくてはいけなくなる可能性があるのもリスクと
安全なウェブサイトの作り方 - 1.9 クリックジャッキング | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.9 クリックジャッキング 概要 ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。このような問題を「クリックジャッキングの脆弱性」と呼び、問題を悪用した攻撃を、「クリックジャッキング攻撃」と呼びます。 発生しうる脅威 クリックジャッキング攻撃により、発生しうる脅威は次のとおりです。マウス操作のみで実行可能な処理に限定される点以外は、CSRF攻撃による脅威と同様です。 ログイン後の利用者のみが利用可能なサービスの悪用 利用者が意図しない情報発信、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な設定の変更 利用者情報の公
脆弱性から学ぶ
Webセキュリティ/study-web-security-from-vulnerability1
バーチー / GMO Pepabo, Inc. 2019.10.12 PHPカンファレンス沖縄 https://phpcon.okinawa.jp
企業向けのセキュリティソリューション事業を手がけるラック(東京都千代田区)は2月21日、情報セキュリティ講座「ラックセキュリティアカデミー」のオンライン受講システムで個人情報の漏えいがあったと発表した。 コースを申し込んだ1人の情報閲覧の権限設定に作業ミスがあった。このため、1月10日から15日までの間、該当するユーザーは過去に他のコースを受講した19人の名前やメールアドレス、受講履歴などの個人情報を閲覧できる状態になっていた。 通報を受けてラックは設定を修正。20人のユーザーに連絡して謝罪した上、システム上の全ての登録データを調査し、関係機関へ報告したという。 ラックは関係者に改めて謝罪すると共に、「今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります」としている。 関連記事 トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセス
ゆうちょ銀行が提供する決済サービスなどの不正利用が相次いでいることを受け、ゆうちょ銀行は9月24日、口座開設時の本人確認手続きを厳格化すると発表した。同日までに確認された被害は380件、約6000万円。同行が提供するVISAデビット・プリペイドカード「mijica」を利用した不正送金の問題も含め決済サービスの総点検を行い、被害者には全額補償する。今後は池田憲人社長が直接指揮するタスクフォースを設置し、サービスのセキュリティ体制を強化する。 ゆうちょ銀行は16日、他社の電子決済サービスと同行の口座を連携する「即時振替サービス」を悪用した不正な預金引き出し被害が拡大しているとして謝罪。同日までに確認された被害は約1811万円としていた。同日にSBI証券と連携する同行の口座から資金の不正引き出しがあったことも発表。23日には、mijicaを利用した不正送金があったと発表した。 SBI証券と連携す
ケビン松永 on Twitter: "マイナンバーのシステム何なの?バカなの? という声に対して、ベンダーを弁護しますが 「総背番号制だめ!セキュリティーがー!!!」 という反対派がうるさかったせいで 省庁・自治体間であっても特定個人情報を簡単に連携できないよ… https://t.co/7NPU90oig2"
マイナンバーのシステム何なの?バカなの? という声に対して、ベンダーを弁護しますが 「総背番号制だめ!セキュリティーがー!!!」 という反対派がうるさかったせいで 省庁・自治体間であっても特定個人情報を簡単に連携できないよ… https://t.co/7NPU90oig2
公正取引委員会は6月30日、メディア事業を手掛けるサイネックス(大阪市)と行政向けサービスを展開するスマートバリュー(同)に、独占禁止法の規定に違反する疑いがあると発表した。調査の結果、2社はWebサイトの改修を計画する自治体に対し、独自開発したCMSの導入が情報セキュリティ対策になると営業活動を行い、オープンソースのCMSを扱う他の事業者が受注競争に参加しにくくなるよう働きかけていたことが分かった。 サイネックスとスマートバリューは自治体に対し、オープンソースのCMSではなく2社が開発した独自のCMSを導入することが情報セキュリティ対策上必須とする仕様案を自治体に配布した。 営業を受けた自治体自身ではCMSの仕様策定が困難であり、この結果、中には発注の際にオープンソースのCMSを使わないよう規定した自治体もあった。これによりオープンソースのCMSを取り扱う事業者の参入が阻害された点が、独
セキュリティ関連のHTTPヘッダを一括指定する Baseline ヘッダ - ASnoKaze blog
現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。 そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」が、GoogleのMike West氏によって提案されています。 まだたたき台であり、これからW3CのWebAppSec WGで議論されている予定になっています。 Baseline ヘッダ 次のようにレスポンスヘッダを指定します。 Baseline: Security=2022これは、次のヘッダを送信するのと同様です。 Content-Security-Policy: script-src 'self'; object-src 'none'; base-uri 'none'; require-trusted-ty
利用者数800万人突破の「家族アルバム みてね」に学ぶ クラウドセキュリティの勘所/Cloud Security Tips
2021年3月3日(水) ITmedia Security Week 2021 春
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SPAセキュリティ超入門
サイバーセキュリティ領域で生き抜くためのキャリア論 - Qiita
AWS全体のセキュリティ管理と快適なセキュリティ運用
ゆうちょ銀行「mijica」、セキュリティの不備14項目見つかる
マイクロサービスセキュリティの「7つの難しさ」とその対応策 Open ID ConnectとSDKの実装で認証認可の安全性を担保
「親が僕の部屋に侵入したことを観測」現代の対親セキュリティの方法が鉄壁で面白い→他にも色々と応用できそう
従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
IPAが「情報セキュリティ10大脅威」を発表 急上昇したトレンドを押さえよう
取締役会で必ず出るセキュリティや技術リスクの質問に、どう答えるか
総務省|無線LAN(Wi-Fi)の安全な利用(セキュリティ確保)について
ブラウザ/セキュリティ/プライバシー周りの一次情報に近い二次情報の情報源をまとめたもの
「秘密鍵暗号化していた」 ビットポイント、“二重のセキュリティ対策”でも起きた仮想通貨不正流出
NECの本気? メッシュ、セキュリティ、デザインの全方位で勝ちに来たWi-Fi 6ルーター「Aterm WX5400HP」【イニシャルB】
Unityのモバイルゲーム向けセキュリティ関連覚書 - Qiita
いわゆる「ホワイトハッカー」と呼ばれる人たちの実態【海外セキュリティ】
GitHub Copilot のセキュリティ・ライセンスに関する懸念の調査メモ
情報セキュリティ講座の受講システムで個人情報漏えい 閲覧権限の設定ミス
ゆうちょ銀、被害額は6000万円に拡大 社長直下のタスクフォースを設置、セキュリティ強化へ
CMSベンダーに独禁法違反の疑い 「独自の方がセキュリティ対策になる」と自治体に営業、他社参入を阻害