Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
脆弱性の多いFlashの代替として注目を集めるHTML5だが、HTML5にもセキュリティをめぐる幾つかの問題がある。 米Appleと米Adobe Systemsとの間の論戦は、HTML5の運命をめぐってさまざまな憶測を呼び起こした。HTML5はまだ開発途上にあるが、1つだけ確実に言えるのは、HTML5を採用する開発者は、アプリケーションセキュリティ開発ライフサイクルの一部として同標準の新たな機能セットを考慮に入れる必要があるということだ。 では、HTML5はセキュリティにどういった影響を及ぼし、脆弱部分をどうカバーすべきなのだろうか。米eWEEKでは、HTML5のセキュリティをめぐる幾つかの重要な問題について専門家に話を聞いた。 クライアントサイドのセキュリティ 「従来版のHTMLでは、Webサイトはローカル情報としてcookieしか保存できない。しかもこれらは比較的小さなデータであり、シ
■ 続・出鱈目なURLで運営されているケータイWebの実態 2日の日記「 出鱈目なURLで運営されているケータイWebの実態 」では、「dwango.jp」のサイトが「b.nu」というドメイン上にあることを示したが、他にも、以下のようなケースもあった。 Yahoo!ケータイのトップ画面から、検索機能で「日本航空」を検索し、トップに出てきた「日本航空」のサイトを訪れて、URLを確認してみたところ、図1のとおり、数値形式のIPアドレスが現れた。 これはひどい。 「172.22.101.1」とプライベートアドレスが使用されているので、セキュリティ上の目的もあってか、おそらくソフトバンクモバイルのセンター内か、VPNで接続されたどこかにサーバが設置されているのであろう。 しかし、こんな形式では、ユーザに本物サイトであることの説明がつかないし、SSLサーバ証明書の取得とかもできないんではないだろうか
2008/04/17 シマンテックは4月17日、同社が定期的に公開している「インターネットセキュリティ脅威レポート」の最新号を発表した。これによると、攻撃の経路が従来のネットワーク経由からWeb経由へと移行しており、Webサイトを閲覧することで利用者が攻撃される例が増加しているという。 米シマンテックのセキュリティレスポンス シニアディレクター ヴィンセント・ウィーファー氏によると、180の国と1億2000万のシステムを対象としたシマンテックのネットワークを基に集計した結果では、Webが急激に悪意あるコードの配布や攻撃の起点となることが分かったという。 また、従来は攻撃対象がコンピュータであったのに対し、エンドユーザーの情報自体、例えばクレジットカード情報やオンラインゲームのアカウントなどの個人情報が対象となっている傾向がある。これらの攻撃もいわゆる「怪しいサイト」を通じて行われるのではな
プロローグ-マルウェアの広がりはネットワーク経由直接感染からWebページ埋め込み型へ いまやWindows XP SP2 が国内のパソコンの多くで稼働する実情からいって、パーソナルファイアウォールが標準完備という時代であることは間違いない。したがって、従来ネットワークを通じた感染を行うことで、最終的に迷惑メール等を発信して収益を上げるシステム・ボットネットを構築させてきた犯罪者は、別の手口を考案させられるに至った。 その別の手口とは、マッシュアップなどWebの複雑性を隠れ蓑に、脆弱性のある一般企業等のWebサイトを足がかりにしたものである。 具体的な手口-一般企業や個人のWebが攻撃元に 具体的には、「とても危害なんて加えてくるとは思えない」サイトを巧妙に改ざんすることである。つまり一般の企業や組織、あるいは個人のBlogなどを巧妙に改ざんし、画面上からは感染活動などを何ら示さないように
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
昨年のBlack Hat Briefingsでは、WhiteHat SecurityのJeremiah Grossman氏が「外部からイントラネット内のWebサイトをハッキング (Hacking Intranet Websites form the Outside)」というタイトルの講演を行った。一般的に安全と思われているイントラネット内の環境であっても、XSS (Cross-site Scripting)攻撃が仕掛けられたWebサイトにアクセスするだけで外部からアクセスされてしまう可能性を指摘した。今年のBriefingsでも同氏は同じテーマを取り上げた。ただし「JavaScriptマルウエアを使わなくても……(Fun With and Without JavaScript Malware)」という副題がついている。 WhiteHat SecurityのJeremiah Grossman
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世
「The Ghost In The Browser Analysis of Web-based Malware」というUsenixの論文がありました。 PDFがダウンロード可能なので、興味のある方は読んでみる事をお勧めします。 この論文は、HotBots 07というボットネットに関してのWorkshopで、他に発表されていた論文も面白そうでした(まだ他のは読んでいません)。 NATやファイアウォールの普及によって、最近ではワーム(Worm)の勢いが衰えてきて、マルウェア作者にとってはWebが活動の主体になりつつあるそうです。 この論文は、Google社の社員5人によって書かれています。 Googleのクローラが収集しているWebページリポジトリを利用して解析を行った論文です。 この論文では、ふるいにかけたURLをバーチャルマシン上のInternet Explorerに渡して実行状況をモニタ
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く