Webアプリケーション脆弱性診断ガイドライン 第1.2.4版(2023年11月) 第1.2.3版について、PostgreSQLのシグネチャに誤りがあったため、修正したものを第1.2.4版としてコミットしました。 ご指摘頂きましたockeghemさん、ありがとうございます。 なお書式面の変更として、一部みにくかったシグネチャについて全体が表示されるように変更を行っています。 Excel/PDF形式での公開はチェックや差分追跡の面で難があるため、公開形式やバージョン管理等について現在部内で変更する方向で検討しております。 ご不便をおかけいたしますが、今しばらくお待ち頂けますと幸いです。(2023年11月) 2022年3月に第1.2版を公開しました。CSSi、Relative Path Overwrite、SSTI、SSRFを始めとした脆弱性項目の追加や診断方法などの見直しを実施しています。(2
サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 (2022年1月29日追記) 本日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです(Firefox 96.0.3にて確認)。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が
2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューションズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – EGセキュアソリューションズ株式会社取締役CTO https://www.eg-secure.co.jp/ –
クッキー殺すべし!のGoogle。次の一手「FLoC」もなんだかな...2021.06.23 21:0017,819 Shoshana Wodinsky - Gizmodo US [原文] ( satomi ) 2022年までにChromeもサードパーティCookie撤廃します! Googleがこう宣言して、Cookie*に代わる仕組みのひとつとしてFLoC(Federated Learning of Cohorts:コホート統合学習、コホートは群衆の意)のテスト利用を開始しましたが、AmazonもAppleもMicrosoftも加わっていなくて反響は今ひとつですよね。 *クッキー。webサイトを訪れたユーザーの情報を一時的に記録するしくみ。ログイン状態を維持したり、広告の好みなどを記憶したりすることに使われる。プライバシー面で懸念があり、廃止の動きが進んでいます。 電子フロンティア財団(
エムスリーエンジニアリンググループ製薬企業向けプラットフォームチームの三浦 (@yuba)です。普段はサービス開発やバッチ処理開発をメインにやっておりますが、チームSREに参加してからはこれに加えて担当サービスのインフラ管理、そしてクラウド移行に携わっています。 今回はそのクラウド移行の話そのものではないのですが、それと必ず絡んでくるインフラ設定に関してです。 アクセス元IPアドレスを知りたい Webアプリケーションがアクセス元IPアドレスを知りたいシーンというのは、大まかに二つかと思います。ログ記録用と、アクセス制限ですね。どちらもアプリケーションそのものではなく手前のWebサーバの責務のようにも思えますが、そうとも言い切れません。動作ログ、特に異常リクエストをはじいた記録なんかにセットでIPアドレスを付けたいとなるとアプリケーション要件ですし、アクセス制限についてもマルチテナントサービ
はじめに 先日利用したngrokというサービスが便利過ぎたので紹介します。 ngrokとは 簡単にいうと、ローカルPC上で稼働しているネットワーク(TCP)サービスを外部公開できるサービスです。例えば、ローカルPCのWebサーバを外部公開することができます。 ngrokの導入 ngrokにユーザ登録 ngrok公式サイトからユーザ登録します。Githubアカウント、Googleアカウントでも登録できるのでお好みで登録します。 ngrokコマンドをインストール ngrokのサービスを利用するには、公開されているngrokコマンドを使用します。ダウンロードサイトからOSに合ったファイルを取得します。ツールはzip圧縮されているだけなので、ファイルをダウンロードしたら任意の場所に解凍します。 ngrokコマンドをインストール ツールのインストールが完了したら、アカウント登録後に表示される「Wel
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? フロントエンド開発という言葉があちらこちらから聞こえてくる。 「反対語はバックエンド開発だから、サーバとかCUIじゃない、アプリとかGUIあたりのことを指す広い意味の言葉だよね。」 ・・・とか思ってたらとんでもない。 世の中ではJavaScript界隈を限定している風な使われ方をしている。 私のような C/C++ メインのレトロエンジニアは肩身が狭くなるばかりである。 本文は、近年のWeb技術に追いつこうと調査した結果のメモ書きである。 n番煎じの内容だが、Web業界にいない人間の視点 なので、私と同類のレトロエンジニア等、一部の人には
米GoogleのSteve Souders氏は3月30日(米国時間)、主要Webサイトのコンテンツを自動分析してレポートする新しいサービス「HTTP Archive」を開始したことを発表した。 HTTP ArchiveはAlexa、Fortune 500、Quantcastなどのいくつかのデータをベースに主要トップサイト約17,000を選出し、コンテンツの分析結果を報告するサービス。HTTP ArchiveのプログラムそのものはOSSのもとで公開され、分析後のデータもダウンロードできる。 HTTP Archiveに掲載されているデータは2010年10月から収集されたものと説明があり、今後2週間おきにアップデートするとされている。実際のWebページでどういったコンテンツが使われているか知ることは、高速に動作するWebアプリケーションやサーバシステムを開発する上で有益なデータとして活用できる。
Webサイトの品質調査・改善サービスを提供している株式会社Spelldata(本店:東京都千代田区、代表取締役: 竹洞 陽一郎)は、2016年1月4日から1月22日の期間、日本の売上上位300社のEコマースサイトの内、自社サイトを持つ285社のWebサイトの品質の調査を行いましたので、調査結果をお知らせいたします。 ■調査結果 重いページあたりの容量…平均3.6MB 大量の外部接続…平均28ホスト 大量のネットワーク接続数…平均62接続 画像やJavaScript、CSSが大量に利用されている…平均226ファイル HTMLのエラーが多い…平均145エラー トップページの容量 トップページを構成するコンテンツ配信先の接続ホスト数 トップページのTCPIPコネクション数 トップページを構成する画像、CSS、JavaScriptなどのオブジェクト数 トップページのHTML文法エラー数 詳細資料は
Webサービスのシステム管理で疲弊している人々を救いたい話
New! O’Reilly announces launch of the AI Academy. Read now Introducing the AI Academy Help your entire org put GenAI to work Every employee today needs to know how to prompt GenAI, use it to enhance critical thinking and productivity, and more. With the AI Academy they can. For less. O’Reilly AI-powered Answers just got even smarter O’Reilly Answers instantly generates information teams can trust,
PostScript links PostScript Language Reference Manual (PDF) Wikipedia on PostScript A First Guide to PostScript Adobe PostScript 3 pages Web servers in other languages Web server in dd/sh One-line web server in BASH Web server in Forth Web server in AWK 200 lines of C code Server in JavaScript Wierd web server hardware Spud - A Potato-Powered Web Server Apple Newton Web Server WWWpic2, web server
@ymmt2005 こと山本泰宇です。 今回は cybozu.com を安全に利用するために暗号化した通信(SSL)を常時使用するための取り組みを紹介します。 HTTP と HTTPS HSTS とその弱点 Preloaded HSTS Chrome のリストに cybozu.com を組み込む まとめ HTTP と HTTPS Web ブラウザのアドレスバーに "www.cybozu.com" と打ち込むと、通常は暗号化されない HTTP 通信が行われます。そこでまず考えられるのは、Web サーバーにて HTTP 通信を受け付けたら、HTTPS に永続的リダイレクトをすることです。Apache なら以下のような設定になるでしょう。 <VirtualHost *:80> ServerName www.cybozu.com Redirect permanent / https://www.c
2. 本日お話しする内容 • キャッシュからの情報漏洩に注意 • クリックジャッキング入門 • Ajaxセキュリティ入門 • ドリランド カード増殖祭りはこうしておこった…かも? Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿など を開始 –
localStorageやsessionStorage、あるいはindexedDBのようなブラウザ上でのデータの保存が可能になったことで、これらを取り扱ううえでもセキュリティ上の注意点が必要である。 これらのストレージは、localStorageやindexedDBは永続的に、sessionStorageはブラウザやタブを閉じるまでの間データが保持され続けるので、例えばWebアプリケーションがログイン機構を持っている場合にログイン中にこれらのストレージに書き込まれたデータは、ログアウト後も当然参照および書き換えが可能である。Webアプリケーション上のアカウントに紐づいたデータをこれらのストレージに書き込んでいる場合、ログアウト後もアクセス可能なことが問題を引き起こす可能性がある。 例えばTwitterのようなサービスがあったとして、(navigator.onLineプロパティなどを利用して
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く