第18回 あなたの会社は仕事中にはてブを使えますか?──IT鎖国する大企業 2008年2月19日 経済・ビジネスITワークスタイル コメント: トラックバック (4) (これまでの藤元健太郎の「フロントライン・ビズ」はこちら) ■縮こまる大企業 大企業の8割が2ちゃんねるにアクセス制限をしているという調査結果が発表された(→IT media)。mixiも5割以上が制限をしているらしい。確かにこれまでも仕事中に遊ばないようにという理由でネットサーフィンすることを禁止する企業などは多かったが、最近では情報漏洩やコンプライアンスなどの理由で大企業は次々と情報統制に対して強く社内を管理するようになりつつある。 はてブやスラッシュドットなど業務上有用と思われるサイトでさえ2-3割の企業は禁止していると調査結果に出ている。企業が利用するパソコンも勝手にソフトをインストールすることは禁止なところが多く、
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
気になる記事をスクラップできます。保存した記事は、マイページでスマホ、タブレットからでもご確認頂けます。※会員限定 無料会員登録 詳細 | ログイン
Danさんが、コードをセキュアにする10の作法という翻訳を公開していました。 翻訳には特にツッコミはないのですが…正直、10個も覚えられません! (>_<)ヒー! ので、勝手に再配置。かっこの中がお作法の名前です。 各段階でチェックしよう! 設計時に、 (セキュリティーポリシーを設計に織り込め) コーディング時に、 (セキュアコーディングの標準を採用せよ) (コンパイラーの警告レベルは最高に) テスト時に、 (有効な品質保証の手法を用いよ) もちろん実行時にも。 (入力を検証せよ) (他のシステムに送るデータは消毒(サニタイズ)しておけ) 迷ったときにはシンプルに!(シンプルイズベスト) デフォルトは拒絶、 (デフォルトで拒絶) 権限は最小、 (最小特権の原則を貫く) でもシンプル過ぎてはいけません。 (多重防御を実践せよ) これでちょっと覚えやすくなりました(私は)。内容は以下のページを
企業からの個人情報漏えいや,偽造されたWebページを使った詐欺事件などが珍しくなくなっています。個人情報保護法や,不正アクセス禁止法などセキュリティに関する法律も整備されてきました。しかし,法律でコンピュータ・セキュリティが保護されたと安心しているユーザーはほとんどいないでしょう。ネットワークを使って安心して買い物や銀行取引をするには,法律のみならず,技術についての理解が欠かせません。 セキュリティに関する技術というと,SELinuxやファイアウオールの設定,SSHやIPsecなどのプロトコルのことを思い浮かべる人も多いかもしれません。また,セキュリティに関するさまざまな技術について断片的には理解しているが,それがどういう目的でどういう役目を果たしているのかを頭の中で整理できていない人もいるのではないでしょうか。 そこで本連載は,セキュリティの基本技術である暗号化技術やPKI(公開鍵暗号方
ワンクリック請求詐欺。 ワンクリック詐欺とは、基本的にワンクリックで成立するわけではありません。 自ら、相手の業者に対して、自分の情報を伝えなければ、何もおきないと言う情報がもっとも流布しています。 荻上式BLOG - 騙しサイトで表示される「個人情報を取得しました」画像を集めてみた こちらで紹介されているような、様々な方法で、ユーザーが自ら連絡をしてしまい、はめられるというケースが多いのがワンクリック詐欺。 今回は、このワンクリック詐欺の手法のうち、もっともエグイ、ワンクリックウェアについて参考までに書いておきます。追加メッセージ よく文章を見ると、ダウンロードも完全に無視すれば良い、という結論に達する記事であることに今更ながら気がつきました。タイトルが誤解を招く結果になっている事を深くお詫び申し上げます。 ワンクリック詐欺の基礎 先ほど紹介した 騙しサイトで表示される「個人情報を取得し
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
今年の4月末にエストニアが大規模サイバー攻撃を受け、同国のインターネット・インフラストラクチャの一部が麻痺した。サイバー攻撃自体はめずらしくないが、エストニアへの攻撃は従来のクラッカー個人やグループによるものに比べて桁違いに大がかりで組織的だった。同国との関係が悪化しているロシア政府の関与を指摘する声もあり、そのため初のサイバー戦争とも見られている。Black Hat Brifingsでは、攻撃を受けている最中のエストニアを訪れたBeyond SecurityのセキュリティエバンゲリストGadi Evron氏が、国の安全保障を揺るがす新たなサイバーテロについて語った。 ロシア系住民との衝突、そしてサイバー攻撃 エストニアは人口は130万人。1991年の独立時に国家のインフラを土台から構築し直し、「IT立国」を国策として、大胆にインターネット技術を導入してきた。国民はPKIチップを備えたID
Windows 98/Me/NT/2000/XP/Vistaに対応したアンチウイルスソフト「AVG Anti-Virus Free Edition」の日本語版がついに先ほど、ようやく公開されました。家庭内で個人的に非商用で利用するのであれば無料です。 いろいろと機能的な制限はあるものの、常駐させることが可能で、なおかつ定期的にパソコンの中をフルスキャンさせたり、あるいは右クリックから任意のファイルをスキャンするといったことも可能ですし、メールの送受信時に自動的にスキャンしてチェックすることもできます。なので、とりあえずアンチウイルスソフトに払うお金がないという人には最適なのかも。 というわけで、実際にインストールして使ってみました。 ダウンロードは以下から可能です。 AVG - AVG Anti-Virus Free Edition ダウンロードしたらクリックして実行 「次へ」をクリック
(Last Updated On: )国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃用コードをホストさせ
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
非商用の個人使用に限って無料で利用できるスパイウェア駆除ソフト「Ad-Aware」の最新版、「Ad-Aware 2007 Free」がリリースされたので早速使ってみました。 以前のバージョンと比較して、スパイウェアを検知するエンジン部分がリニューアルされており、検知精度がアップ。さらに定義ファイルも差分のみをダウンロードするようになったのでブロードバンド回線ならほぼ一瞬で終了します。 というわけで、ダウンロードとインストール方法、簡単な使い方は以下の通り。 Ad-Aware @ Lavasoft - The Original Anti-Spyware Company - Lavasoft http://www.lavasoft.com/ Ad-Aware 2007 Has Arrived ? Details Here! ダウンロード自体は「窓の杜」から行うと早くて快適です。 窓の杜 - A
ダウンロードしたこのファイル、便利そうだけどちょっと怪しいかも・・・というときに使えそうなツールのご紹介。 Virus Chiefはブラウザ上で怪しいファイルのウイルスチェックができてしまう。 使い方は簡単で、このサイトでファイルをアップするだけでCalmAVやAntiVirなど複数のアンチウイルスソフトでチェック、結果を教えてくれる。 むろん100%保障してくれるわけではないが、転ばぬ先の杖的に使うことができるだろう。 アンチウイルスソフトを常備している人も多いだろうが、出先のパソコンなどで使えそうだ。家にはあるが、出先にはない・・・そうしたツールに新しいサービスのヒントがありそうですね。
■ 住民票コードを市町村が流出させても全取替えしない先例が誕生する? 愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。 愛南町では今後、5月21日(予定)から職員全員で関係する全世帯を訪問し、情報が流出したことについての説明とお詫びに伺う所存でございます。また、住民票コードの変更を希望される方には、変更申請を行っていただくようお願いいたします。 愛南町の住民の個人情報の流出に関するお詫びとお知らせ, 愛媛県愛南町, 2007年5月18日 「変更に応じる」と言っても、今回の事故の対応措置というわけではなく、元々、住民票コードの変更は平常時から用意されて
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味がある。自身がSeaSurfers MLというウェブアプリケーションセキュリティをテーマとしたメーリングリストを主催しており、またセキュリティコミュニティに多くの知人、友人がいる。しかし彼らとウェブアプリケーションなどのセキュリティ対策について意見を交換すると、違和感をおぼえることが多い。 彼らは脆弱性の原理についてとても詳しいのだが、以下のような会話が頻繁に発生するのである。 「…つまり原理的に考えて、このようにすればXSSは発生しないんだよ」 「な
筆者は最近,Apache HTTPサーバーに対するサービス拒否攻撃を防御するWebベースのセキュリティ・ツール「mod_evasive」を使い始めた。mod_evasiveは特定の挙動を探してそれをブロックするモジュールである。 mod_evasiveは,筆者が昨年の12月に紹介した「Suhosin」に似ている(関連記事:PHPの「守護神」Suhosin)。SuhosinはPHPスクリプティング・エンジンの安全性を大幅に高めるパッチである。Suhosinは,害を及ぼす危険性を持つありとあらゆるWebベースのコンテンツを検出し,それらがPHPエンジンを越えてシステムやネットワークに到達するのを防ぐ上で役に立つ。 mod_evasiveが機能する仕組みを説明しよう。mod_evasiveはまずURLリクエストをApacheサーバーに送信するIPアドレスの記録を取る。その後,あらかじめ設定した許
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く