Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなどもありますので、クライアントの環境によっては機能しないこともあります。 X-Frame-Options ブラウザが frame または iframe で指定したフレーム内にページを表示することを制御するためのヘッダーフィールドです。主にクリックジャッキングという攻撃を防ぐために用いられます。 X-Frame-Options: SAMEORIGIN DENY フレーム内にページを表示することを禁止(同じサイト内であっても禁止です) SAMEORIGIN 自分自身と生成元が同じフレームの場合にページを表示することを許可(他のサイトに禁止したい場合は主にこ
最近、JVN#63901692の公開後、IEおわたとか使うなという反応されている方が結構います。 これは、MSの対応がInternet Explorer 10のみになってしまったのもあるかとおもいますが、そもそも十分な理解がされていないためだとおもわれます。 実際のところ、いまつかっている、IEを即刻利用停止しなければならないほど危険な脆弱性ではありません。 JVNではインターネットからの攻撃が高となってますが、実際は説明にあるとおり、あくまでもローカル上のXMLファイルをクリックした場合のみの問題となります。 このため実際の危険度はもっと低くなります。 IEは、通常JavaScriptやAxtive Xや含んだローカルのHTMLを開いた場合、「このWebページはスクリプトやAxtiveXスクリプトやActiveXコントロールを実行しないようにブロックされています」と表示されます。 XML
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く