タグ

関連タグで絞り込む (3)

タグの絞り込みを解除

securityとwebに関するdzd12061のブックマーク (6)

  • 対策遅らせるHTMLエンコーディングの「神話」

    クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM

    対策遅らせるHTMLエンコーディングの「神話」

  • アイコンを「パンダ」にするウイルスが蔓延、Webアクセスで感染

    独立行政法人の情報処理推進機構(IPA)は2007年2月2日、Windowsのぜい弱性(セキュリティホール)を突いて感染を広げる「Fujacks」ウイルスの届け出や相談が多数寄せられているとして注意を呼びかけた(発表資料)。ぜい弱性があるパソコンでは、このウイルスに感染しているWebサイトにアクセスするだけで、感染する恐れがある。感染したパソコンでは、一部のファイルのアイコンがパンダの絵に置き換わる。 Fujacksは、実行形式ファイル(.exe)に感染するウイルス。Fujacksに感染したファイルを実行すると、パソコン中のすべての実行形式ファイルにFujacksを埋め込んで感染を広げる。感染したファイルのアイコンはパンダの絵になる。また、別のウイルスを生成して実行する。さらに、パソコン上で動作している特定のセキュリティソフト/サービスを強制終了させる。 加えて、パソコンに保存されているW

    アイコンを「パンダ」にするウイルスが蔓延、Webアクセスで感染

  • 仮想世界「Second Life」を揺るがす「CopyBot」への不安

    文:Daniel Terdiman(CNET News.com) 翻訳校正:向井朋子、中村智恵子、小林理子、編集部2006年11月16日 21時53分 人気のバーチャルワールド「Second Life」のコンテンツ制作者たちが、あるプログラムが広がることに抗議して、米国時間11月14日、仮想世界のなかで集会を行った。「CopyBot」という名称の問題のプログラム--ボット--は、仮想の世界に誕生したばかりの経済に大きな打撃を与えかねないと懸念されている。 議論が熱を帯びるようになったのは、Second Lifeを運営するLinden Labが13日、仮想世界の住人たちにCopyBotの存在について注意を喚起する情報をブログに掲載したのがきっかけだった。CopyBotを使えば、誰でもSecond Life内のあらゆるオブジェクトをコピーできてしまう。別のユーザーが自分のアバターに着せるために

    仮想世界「Second Life」を揺るがす「CopyBot」への不安

  • 「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起

    「クロスサイト・スクリプティング(XSS)脆弱性を悪用された場合の被害例としては『Cookieを盗まれる』ことがよく挙げられる。しかし,実際にはもっと深刻な被害を受ける恐れがある。管理者や開発者はその危険性を十分に認識して,対策を施す必要がある」――。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は11月10日,ITproの取材に対して,XSS脆弱性の脅威を強調した。 さまざまなWebサイト(Webアプリケーション)において,XSS脆弱性が相次いで見つかっている。その背景には,開発者などの認識不足があると徳丸氏は指摘する。「適切に対策を施すには,XSS脆弱性のリスクを把握する必要がある」(徳丸氏)。しかしながら,実際には,XSS脆弱性のリスクを過小評価しているケースが少なくないという。 例えば,「(自分たちが運営している)携帯電話向けサイトでは(携帯電話上で

    「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起

  • http://headlines.yahoo.co.jp/hl?a=20060331-00000073-zdn_ep-sci

  • LAMPのセキュリティは優秀--米でオープンソースソフトのバグ調査

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます オープンソースソフトウェアのなかで最も人気の高いものは、バグの数も最も少ないことが、ソフトウェアの安全を可能な限り確保する目的で米国政府が後援した初めての取り組みの結果から明らかになった。 コード解析ツールメーカーのCoverityが米国時間6日に発表したところによると、いわゆる「LAMP」と呼ばれるオープンソーススタックは、調査の対象となった32のオープンソースソフトウェアの基準値に比べて、バグ密度が低いことがわかったという。バグ密度とは、一定の行数のプログラムコードに含まれるバグの数を示すもの。 米国土安全保障省は1月に、スタンフォード大学、Coverity、Symantecの3者に対して124万ドルの資金を提供することを発表した。

    LAMPのセキュリティは優秀--米でオープンソースソフトのバグ調査
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.