「Web2.0の脅威」が増加――Symantec報告
Symantecがまとめた報告書によると、今後Win32の不正コードがさらに多様性を増し、Web2.0のセキュリティ脅威、Ajax攻撃が増加する見通しだ。 米Symantecは9月19日、今年上半期のインターネットセキュリティ脅威動向に関する報告書を発表した。報告書は、大きく分けて「将来展望」「攻撃傾向」「脆弱性傾向」「不正コード傾向」「フィッシング、スパム、セキュリティリスク」の5項目で構成されている。 将来展望は、これまでの調査に基づき、今後6カ月から24カ月間の傾向を予測したもの。SymantecはWin32不正コードの増加を警告。またブログなど、個人が様々なプラットフォーム上でコンテンツを作成可能なWeb2.0技術が、悪意あるサイトやウイルス、スパイウェアの入口となる可能性を指摘している。また様々なWebサービスを結ぶAjaxも、その性質ゆえに攻撃のターゲットとなりやすいと見る。
高木浩光@自宅の日記 - 適切な脆弱性修正告知の習慣はなんとか広まらないものか, 「はてなツールバー」がHTTPSサイトのURLを平文のまま送信していた問題,..
■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性
やねうらお―よっちゃんイカ(ry - mixi hacks
自分のホームページに <img src="http://mixi.jp/show_friend.pl?id=XXXXXX" width=0 height=0> と書いたり、CSSに body { background: url(http://mixi.jp/show_friend.pl?id=XXXXXX); } と書いたりするのが流行っている。 こうすると、そのページにアクセスした人のmixiのIDがわかるのである。mixiでは本名を入れていたりすることが多いので、どこの誰のアクセスだかバレてしまう。 このように「ユーザーの意図しないところで勝手にユーザーの情報が送信されてしまって本当にいいのか?」と思うのだが、この問題は案外根が深そうだ。
脆弱なWebアプリケーションから脱却する5つのコツ
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。 Webアプリケーションと個人情報 多くの個人情報を扱うWebアプリケーションの1つに、ショッピングサイトがある。ショッピングサイト上には、利用者の名前や住所、電話番号などの個人情報が蓄積されている。それだけではなく、購入履歴やアンケートといった、他人には知られたくないような情報が登録されていることも多い。通常これらの情報は、データベース(DB)で管理されていることがほとんどだと思うが、WebアプリケーションにSQLインジェクションの脆弱性が存在すると、DB内の個人情報を一気に抜き取られてしまう。Webアプリケーションの脆弱性にはさまざまなものがあるが、個人情
P2Pソフト開発、どこまでが“違法”なのか
P2Pソフトの開発は、どこまでが違法なのか――日本ソフトウェア科学会が9月14日、東京工業大学で開いたチュートリアル「P2Pコンピューティング-基盤技術と社会的側面-」のパネルディスカッションで、技術者5人と法学者がP2P技術の法律的側面について話した。 参加したのは、ネット上の契約や著作権法に詳しい成蹊大学法学部の塩澤一洋助教授、産業技術総合研究所グリッド研究センター・セキュアプログラミングチーム長の高木浩光氏、同センターの首藤一幸氏、科学技術振興機構の阿部洋丈研究員、NTTサービスインテグレーション基盤研究所の亀井聡氏、デジタルドリームの近藤治社長。 Winny開発者逮捕は、技術者を萎縮させたか 阿部研究員は、P2P技術を利用した匿名プロキシ「Aerie」を開発。ソースの公開を予定していたが、「2ちゃんねるの名誉毀損訴訟や、Winny開発者逮捕事件などをきっかけに、ソース公開を思いとど
ITmediaニュース:開発者が語る“ポストWinny”
P2Pファイル交換ソフト「Winny」開発者の金子勇氏を招いた公開研究会が、都内の国際大学GLOCOMでこのほど開かれた。金子氏は「匿名性と効率性の両立を目指した」とWinny開発の意図を語り、“ポストWinny”の姿も示唆。Winnyの倫理を論じるパネルディスカッションにも耳を傾けた。 「匿名性と効率性は、基本的にはバッティングすると思っていた」――金子氏がWinnyを開発したきっかけは、匿名性の高いファイル共有ソフト「Freenet」との出会いだ。Winnyは、Freenet的な匿名性を保ちつつ、多段中継やキャッシィングの仕組みなどを活用することで、Freenetよりも効率的なファイル共有システムを目指したという。 その目的はある程度達成され、Winnyは多くのユーザーの支持を得た。ただ「Winnyには、未解決の技術的テーマがある」金子氏は語る。放流されたファイルの管理と、システムのオ
Webシステム開発でセキュリティが軽視される理由 - @IT情報マネジメント
Webシステムでは、アプリケーションレベルでのセキュリティ対策が不可欠であるにもかかわらず、軽視されがちだ。この現状を改善する方法を考える。 昨今の個人情報などに対する不正アクセス関連事件では、Web経由で提供されているアプリケーション(ここではWebシステムと呼ぶ)のセキュリティ上の欠陥に付け込まれる例が多発している。この種の不正アクセスからWebシステムを守るには、ファイアウォールなどの事後的な、外付けのセキュリティ対策だけでは不十分である。システムを開発する時点で、セキュリティ上の欠陥が生じないようにしなければならない。 一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する(RFP)段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働
特集 次世代XML Webサービスを試す Part 2[改訂版] 1.WS-SecurityとWeb Services Enhancements - @IT
特集 次世代XML Webサービスを試す Part 2 - WS-Security詳細解説 - 1.WS-SecurityとWeb Services Enhancements インフォテリア株式会社 吉松 史彰 2003/01/29 改訂 (改訂前の記事はこちら) 本稿は、「Web Services Development Kit Technology Preview」をベースとして2002/11/15に公開された同名の記事を、正式版である「Web Services Enhancements」に対応させ全面的に加筆・修正を行った改訂版です。 始めに 前回はWeb Services Enhancements for Microsoft .NET(以下WSE)を紹介して、簡単なプログラムで動作の確認を行った。今回は、WS-Security仕様の実装をより詳細に確認していくことにしよう。 WS-
シマンテック:「Mozillaブラウザの脆弱性、IEを上回る」
Symantecが公表したレポートによると、Mozillaの開発するウェブブラウザのほうが、MicrosoftのInternet Explorer(IE)よりも、攻撃に悪用される可能性のある脆弱性が多いという。 ただし、米国時間19日にリリースされたこのレポートから、ハッカーが依然としてIEに焦点を合わせていることもわかった。 人気の高いFirefoxをはじめとするMozillaの各ブラウザは、一般的にセキュリティ関連の多くの問題を抱えてきたIEより安全だと見なされていた。Mozilla FoundationプレジデントのMitchell Bakerは今年に入って、Mozillaの各ブラウザのほうがIEより根本的に安全だと述べていた。同氏はまた、Mozillaの各ブラウザはマーケットシェアが拡大してもIEほど多くの問題に直面しない、との予測も示していた。 だが、Symantecが発表した「
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
