[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

タグ

secureCodingに関するtsupoのブックマーク (9)

  • 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】を公開しました。 - JSSEC | 一般社団法人日本スマートフォンセキュリティ協会

    2022年8月29日 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】を公開しました。 ・『Android アプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】 ・「サンプルコード一式」 【2022年8月29日版】 報道関係各位 JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2022年8月29日版を公開 一般社団法人日スマートフォンセキュリティ協会 一般社団法人日スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 セキュアコーディングWG(リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 ガイド)の14版目の改定版である2022年8月29日版を公開しました。 ■2022年8月29日版の改訂

    『Androidアプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】を公開しました。 - JSSEC | 一般社団法人日本スマートフォンセキュリティ協会
    tsupo
    tsupo 2013/11/29
    日本スマートフォンセキュリティ協会 / Androidアプリのセキュア設計・セキュアコーディングガイド // このガイドを解説したDVDがAmazonで売られてますね
  • いい加減、<script src="http://.. と書くのはやめましょう - DQNEO起業日記

    外部サイトのJSファイルを読み込むときに、こういう書き方するのはやめましょう。 <script src="http://example.com/js/jquery.js"></script> 理由 あなたのサイトが、いつの日かSSLに対応することになったとき、そのscriptタグがバグの原因になります。 ご覧のとおり、HTTPSページの中でHTTP要素を読み込もうとすると、ブラウザによっては安全装置が働いて読み込んでくれないのです。 上の例ではjQueryの読み込みに失敗していますが、エラーメッセージ「Uncaught ReferenceError: jQuery is not defined 」を見てもHTTPS/HTTPのプロトコルが原因だとはすぐ気づかないので、わかりにくいバグになってしまいます。 結論 JSファイル(とかCSSとか画像とか)を読み込むときは、"http:"の部分を省

    tsupo
    tsupo 2013/05/20
    「ネットワークパス参照(network-path reference)」
  • 見落としがちな整数関連の脆弱性(前編)

    整数の脆弱性 2013 いまをさかのぼること6年前の2007年。情報セキュリティ関連のリサーチを行う米国の非営利団体、MITREが、ソフトウェアの脆弱性のトレンドに関する調査レポートを公表しました。調査は2006年の1年間に発見された脆弱性を対象に行われ、レポートには、その年の脆弱性の傾向とその分析結果がまとめられています。 さて、このレポートの概要には、整数オーバーフローについて書かれた次のような一節が見つかります。 整数オーバーフローは、過去数年の間、かろうじてトップ10入りする程度の脆弱性にすぎなかったが、(今回の調査では)OSベンダのセキュリティアドバイザリにおいて、バッファオーバーフローに次いで2番目に多い脆弱性であることが分かった。これは(OSのような)注目を集めるソフトウェアに研究者の興味が向かっていることを示唆しているのではないか この状況は、レポートの公表から6年が経過し

    見落としがちな整数関連の脆弱性(前編)
    tsupo
    tsupo 2013/05/17
    整数オーバーフローは、バッファオーバーフローに次いで多い脆弱性 / 符号エラー,ゼロ除算,ゼロ拡張のし忘れ,整数値の範囲チェック不備 / 整数オーバーフローがバッファオーバフローにつながる典型的な脆弱性
  • SDNAがAndroidアプリ脆弱性検査ツール--個人は月額1000円

    ソニーデジタルネットワークアプリケーションズ(SDNA)は4月18日、Androidアプリの脆弱性が検査できるツール「Secure Coding Checker」を発表した。5月中旬から販売する。 SaaSで提供されるSecure Coding Checkerは、Androidアプリの体である“apk”ファイルが「Androidアプリのセキュア設計・セキュアコーディングガイド」(日スマートフォンセキュリティ協会=JSSEC作成)にしたがって開発されているかを診断し、脆弱性が含まれていないかを検査するツール。検査結果レポートでは問題がある場所を指摘、コーディングガイドで参照すべき項目への導線も提示してくれる。 使い方は、ツールにログインして検査対象のapkファイルを選択するだけという簡単設計。料金は、1アプリを対象とした個人向けプランが月額1000円、10アプリまでを対象とした法人向けプ

    SDNAがAndroidアプリ脆弱性検査ツール--個人は月額1000円
    tsupo
    tsupo 2013/04/19
    apkファイルが「Androidアプリのセキュア設計・セキュアコーディングガイド」(日本スマートフォンセキュリティ協会=JSSEC作成)にしたがって開発されているかを診断し、脆弱性が含まれていないかを検査するツール
  • セキュアなAndroidアプリ開発のTipを集めたガイド、JSSECが公開 - @IT

    2012/06/11 日スマートフォンセキュリティ協会(JSSEC)は6月11日、セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。7月31日まで、ガイドに対するパブリックコメントを募集する。 Androidアプリのセキュア設計・セキュアコーディングガイドは、JSSECのセキュアコーディンググループがまとめた全232ページの文書だ。ソフトウェアメーカーやアプリケーション開発者を対象に、セキュアコーディングの基礎知識にはじまり、ActivityやSQLiteといったAndroid特有の機能の適切な実装方法や、パーミッションや暗号、電子署名などAndroid OSが備えるセキュリティ機能の使い方を紹介している。 特徴は「開発現場で使う」ことを念頭に置いて、ふんだんにサンプルコードを交

    tsupo
    tsupo 2012/06/12
    日本スマートフォンセキュリティ協会(JSSEC) / セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」
  • IPA、Cのソースコードのセキュリティ検査ツールを公開 − @IT

    2012/05/08 情報処理推進機構(IPA)は5月8日、C言語で書かれたソフトウェアのソースコードを検査し、脆弱性が含まれている個所を検出して修正方法とともにレポートするツール「iCodeChecker」を公開した。 iCodeCheckerは、脆弱性やソースコード検査技術を学習したいと考える学生や開発者向けのツールだ。Cのソースコードファイルを読み込ませると自動的に解析を行い、何行目にどういった脆弱性が存在し、どのように修正すべきかを示したレポートを日語で出力する。 検出できるのは、バッファオーバーフローや整数オーバーフロー、配列インデックスの検証不備といった、開発時に作り込みやすく、かつ危険度の高い脆弱性8種に絞られている。だがそれでも、任意のコード実行につながるような、影響が大きい脆弱性の検出が期待できるという。 iCodeCheckerは、パッケージ形式とソースコード形式(い

    tsupo
    tsupo 2012/05/09
    iCodeChecker / 検出できるのは、バッファオーバーフローや整数オーバーフロー、配列インデックスの検証不備といった、開発時に作り込みやすく、かつ危険度の高い脆弱性8種 → C++ には対応してないのか
  • PHP5.3.7のcrypt関数のバグはこうして生まれた

    昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ

    PHP5.3.7のcrypt関数のバグはこうして生まれた
    tsupo
    tsupo 2011/08/24
    strlcat というのは strncat_s の類似品だよなぁ……
  • JPCERT コーディネーションセンター イベント情報

    C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 は終了いたしました。 ご参加いただきました皆様、誠にありがとうございました。 脆弱性のない安全なプログラムを開発するために ~ソフトウエアの脆弱性が作りこまれる根的な原因を学び、問題を回避する~ JPCERTコーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただくためのセミナーを下記のとおり開催いたします。 従来のプログラミング教育は、基的なアルゴリズムをどのようにコーディングするかが主なものでした。 しかし C/C++ 言語による開発では、基的なプログラミングだけでなくセキュリティへの十分な配慮が必要です。不用意なプログラミングの結果、予期せぬ脆弱性を多く含むソフトウエアが生まれます。 セミナーは、経済産業省の委託によるソ

    JPCERT コーディネーションセンター イベント情報
    tsupo
    tsupo 2009/09/08
    関西エリアのプログラム開発者の方々に受講いただけるよう、大阪にて、2009年10月6日から 11月2日の全3回コースで開催いたします → 今年は、大阪でも開催されるとのこと
  • セキュリティ専門家ら、コーディングエラー上位25リストを公開

    米国政府機関、多国籍企業、学術業界のセキュリティ専門家が、ソフトウェアコーディング中に発生するコードエラーのうち深刻なもの25件のリストを発表した。 SANS Instituteが米国時間1月12日に発表した声明文によると、30以上の組織が共同で作業し、25件の「最も危険な」エラーを選んだという。作業に参加したのは、米国家安全保障局、米国コンピュータ非常事態対応チーム(US-CERT)、MITRE、SANS Instituteなどの組織のほか、MicrosoftAppleOracleなどだ。 リストを公開することで、プログラマーセキュリティ脆弱性につながるエラーを確認できるようにすることがこの取り組みの狙いだ。 「(リストにより)組織のソフトウェア購入方法がすぐに変わるだろう」とSANS InstituteのディレクターであるAlan Paller氏はZDNet UKに語った。 MI

    セキュリティ専門家ら、コーディングエラー上位25リストを公開
    tsupo
    tsupo 2009/01/14
    ソフトウェアコーディング中に発生するコードエラーのうち深刻なもの25件のリストを発表 / トップ2は、「不適切な入力値検証」と「不適切なエンコーディングまたは出力のエスケープ」
  • 1