HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
そもそもTOMOYO Linuxとは何か そもそもTOMOYO Linuxとはいかなるものなのか。「たまに勘違いする人がいるのですが、TOMOYO Linuxはディストリビューションではありません。Linuxのセキュリティを強化するための拡張の一種です」(原田氏) Linuxも含めた汎用的なOSでは、root権限さえ持っていれば、たとえアクセス制御を設定していてもそれを無視してあらゆるファイルにアクセスし、上書きや削除といった操作を行えてしまう。また、プロセスが乗っ取られてしまうと、システム全体に大きな被害が及ぶ可能性がある。 これに対し、たとえroot権限を持っていたとしてもアクセスに制限を加える「強制アクセス制御(MAC:Mandatory Access Control)」と呼ばれる機構を備えることで、セキュリティを強化する仕組みが登場してきた。いわゆる「セキュアOS」だ。セキュアOS
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2024年5月時点の調査。
@自宅(個人の見解に基づいており,所属組織などとは一切関係ありませんし,事実かどうかもわかりません) この世界に希望をもつためには批判し続けることこそが必要だ - Edward W. Said (1935-2003) 現実逃避を兼ねて,4403さんのところを荒らしてきた. (中略) 受理された模様.完全スルーされてた (゚д゚) DV SSL 証明書 - Doblog - exploit - スルーする.ブログはdomesticなのかどうか・・・.というわけで,exploitさんに現実逃避を兼ねて荒らされたので,むしゃくしゃしてSSL証明書を買った.今は反省している.記事が中途半端な内容だった責任を取って,RapidSSLを買ってみた.身を以て償いたい.などと述べている. 今回RapidSSLを購入するにあたり,利用したリセラはOnlineSSL.jpである.ぶっちゃけ,どこでも良かったん
2024.03.13制 度 JIPDECと日本DPO協会 共同で個人情報保護力量検定及び教育制度を創設 ※JIPDECサイトプレスリリース 2024.03.12制 度 付与事業者で発生した事故等への対応状況について 2024.03.11その他 3月8日放送 テレビ朝日『グッド!モーニング』で紹介されました※YouTube『ANNnewsCH チャンネル』を表示します 2024.02.22制 度 プライバシーマーク®制度貢献事業者一覧を公表しました(2023年12月~2024年1月) 2024.02.21その他 制度創設25周年特別企画 有識者からのメッセージ(福長恵子氏)を公開しました 2024.02.07イベント 「新規申請を目指す事業者のためのプライバシーマークセミナー」事例紹介編のご案内 ⇒申込受付中 2024.02.05その他 「個人情報保護マネジメントシステム導入・実践ガイドブッ
PCI DSSとは? セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS(Payment Card Industry Data Security Standard)とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。
ITセキュリティには年齢問題がある。米Symantecの新しい調査で、多くのCIOの実感が裏付けられた。職場に入ってくる若い男女──世紀末生まれということで、「ミレニアル(Millennial)世代」と総称される──は年上の従業員に比べ、技術の公用と私用を区別する意識が薄いばかりか、会社のセキュリティポリシーに反して情報にアクセスしてしまう。 ミレニアル世代(28歳以下の従業員と定義される)はそれより年上の層に比べ、Web 2.0アプリケーションを利用する頻度がはるかに高い。例えば調査によると、ミレニアル世代のうち職場でWebベースの私用メールを使っているのは75%(それ以外の層は54%)、FacebookかMySpaceに定期的にアクセスしているのは66%(同13%)、個人資産アプリケーションにアクセスしているのは51%(同27%)だった。 これはまだ文化シフトの氷山の一角にすぎない。
ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。 レポート だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。 今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。 Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。 実行中 検査する項
米研究者らによる論文「Automatic Patch-Based Exploit Generation is Possible: セキュリティ組織の米サンズ・インスティチュートは2008年4月18日、米大学の研究者らが、修正パッチ(セキュリティ更新プログラム)から攻撃プログラム(エクスプロイト)を自動的に生成する手法を発表したと伝えた。同手法を用いれば、パッチの入手から数分で攻撃プログラムを生成できるという。 ソフトメーカーが公開した修正パッチを解析(リバースエンジニアリング)して、そのパッチで修正される脆弱(ぜいじゃく)性を突くプログラムを作成するのは、攻撃者の常とう手段。最近では、パッチ公開から数日で攻撃プログラムが公開されるケースが増えている。 現在は、攻撃者が人手でパッチの解析や攻撃プログラムの作成をしているものの、これらが自動化されれば、もっと短期間に攻撃プログラムが出現し、より
解読不能な公開鍵暗号Crypto Alarm Basicな暗号方式Crypto Alarm Basicに関する発表があったようです(東京理科大学 大矢雅則教授)。 「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは − @IT 考案者によると 「われわれの開発した暗号方式は、数学的に解読が不可能であると証明されています」 まっじでーー??と思い、いろいろ論文探したんだけど、ほんとに見つからないんだよ。 「数学的に解読不可能」というのがどういう意味なのかはさておき、「情報理論的に」解読不可能な暗号としてワンタイムパッドがずいぶん昔(1940年代)にかの有名なシャノンに考案されている。やりかたは極めてシンプルで、たとえば送信したいメッセージをM=HELLOWORLDとすると Mと同じ長さの秘密の乱数R(例えばR=DKLKHGRHEP)を生成し、送信者と受信者で共有する 送信者:C[i
2008/04/17 シマンテックは4月17日、同社が定期的に公開している「インターネットセキュリティ脅威レポート」の最新号を発表した。これによると、攻撃の経路が従来のネットワーク経由からWeb経由へと移行しており、Webサイトを閲覧することで利用者が攻撃される例が増加しているという。 米シマンテックのセキュリティレスポンス シニアディレクター ヴィンセント・ウィーファー氏によると、180の国と1億2000万のシステムを対象としたシマンテックのネットワークを基に集計した結果では、Webが急激に悪意あるコードの配布や攻撃の起点となることが分かったという。 また、従来は攻撃対象がコンピュータであったのに対し、エンドユーザーの情報自体、例えばクレジットカード情報やオンラインゲームのアカウントなどの個人情報が対象となっている傾向がある。これらの攻撃もいわゆる「怪しいサイト」を通じて行われるのではな
テクノロジの将来を予測することは、決して簡単ではない。しかし、Symantecの最高経営責任者(CEO)であるJohn Thompson氏は米国時間4月8日午前、「RSA Conference」の基調講演でそれに挑戦した。 Thompson氏は、将来について3つの予測を示した。第1は、悪意あるソフトウェアの数が違法なソフトウェアを上回るために、いわゆるホワイトリストの必要性が高まる。第2は、ID管理が大企業を超えて広がり、世界中のすべて顧客が対象になり始める。第3は、デジタル著作権管理が、音楽やビデオだけでなく、あらゆるコンテンツで実現される、というものだ。 Thompson氏は、企業はこうした将来について今すぐ検討を始める必要があるとした上で、「私の考えでは、これは、情報を中心としたセキュリティの視点へと向かう根本的な変化を伴って始まるはずだ」と語った。Thompson氏の説明によれば、
米国時間4月8日、「RSA Conference」の基調講演を行った米国土安全保障省のMichael Chertoff長官は、サイバー攻撃によるリスクが増大し、あまりにも深刻な結末をもたらすようになっているため、米国にはネットワークセキュリティ版の「マンハッタン計画」が必要だと語った。 「攻撃にどのように対処するかという点で、われわれはゲームのやり方を変える必要がある。(George W. Bush)大統領は2008年1月、国土安全保障に関する政令に署名した。これは、米国のサイバーセキュリティを主導するもので、(中略)マンハッタン計画のようなものだ」とChertoff氏は述べた。 「サイバー攻撃によって、テロリストや犯罪者は、実世界では決してなし得ない種類の損害を与えられるようになっている」(Chertoff氏) Chertoff氏はまた、エストニア政府機関のサーバが、ボットネットによるサ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く