RIAトピックス
リッチクライアント/RIAを主テーマに取り扱います。Flex、Ajax、AIR、Silverlight、JavaFX、etc。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【@IT】中央省庁もIE6からIE8へ移行を――NISCが推奨
http://www.atmarkit.co.jp/news/201006/18/nisc.html

 6/17(木)、内閣官房情報セキュリティセンター(NISC)は、各府省庁に対しインターネットブラウザのInternet Explorerを6から8への移行を推奨したことを明らかにしました。

 IE6はインターネットブラウザ史上最も普及したブラウザですが、その仕様はマイクロソフト独自のものに偏っており他のブラウザと互換性が低く、表示内容に違いが出るなど問題の多いブラウザでした。それに加えて非常に長い間トップシェアを誇ってきたことが災いし、現在ではセキュリティホールだらけになってしまいました。毎月のようにパッチを発行しますが、それも手に負えないところまできており、マイクロソフト自身「腐った牛乳だから捨ててくれ」とユーザーに懇願するまでになってしまったのです。

 現在のIEの最新版は8です。当然IE6よりは安全なブラウザと言えます。今回のNISCの通達は政府レベルでこれをIE6→8の移行を促すことで、安全なWebサイト閲覧を保とうという動きです。NISCは他にも「複数のブラウザの使用」も推奨しています。

 IE6はWindows XPなどに標準で組み込まれており、マイクロソフト自身も簡単にサポートを中断することが出来ません。それに加えてビジネスオフィスでは利用者がPCの管理者権限を持たず、安全だからと言って簡単に移行作業が出来ないのも現状です。政府レベルで移行を促す動きがあれば、こういったあまりセキュリティ的に宜しくない状況の改善が加速できるのではないかと期待したいところです。



ヨウイチ
スポンサーサイト

テーマ:システム開発 - ジャンル:コンピュータ

もっとも危ないプログラミングエラー25、+16
もっとも危ないプログラミングエラー25、+16 【マイコミジャーナルより】
http://journal.mycom.co.jp/news/2010/02/19/005/index.html

昨年から引き続き、アメリカで共通脆弱性列挙(CWE)プロジェクトから「もっとも危ないプログラミングエラー25」が発表されました。
これは、パフォーマンスの問題やセキュリティの脆弱性、また様々な犯罪の原因となり得るプログラミングエラーのうち、頻度と危険性の高いとされるものをランキング形式で25、ランキング以外で16挙げている。
尚、どの脆弱性が重要かと言うのはプログラミング言語やユースケースなどに応じて変化するため、一般的なケースとしてランキングされている。

又、プログラミング言語に焦点を当てた一覧がInfoQに掲載されているので、こちらも合わせて参照をすると良いと思われる。

一つのミスも無い完璧なプログラミングを行うことは不可能だが、自分が作成したプログラムにこれらの脆弱性が常に潜んでいると事を意識し、セキュリティに関する意識を高めておく必要があるだろう。



CWE/SANS プログラミングエラー トップ25 【InfoQ Japanより】
http://www.infoq.com/jp/news/2010/04/Top-25-Programming-Errors

脆弱性などの原因に:「最も危険なプログラミングエラー」25種類のリスト発表 【ITmedia エンタープライズより】
http://www.itmedia.co.jp/enterprise/articles/0901/13/news025.html

K.Y

テーマ:システム開発 - ジャンル:コンピュータ

FiddlerとWatcherでWebサイトのセキュリティをチェックする
【ハウツー】FiddlerとWatcherでWebサイトのセキュリティをチェックする 【マイコミジャーナルより】
http://journal.mycom.co.jp/articles/2010/04/21/fiddler/index.html

FiddlerはMicrosoftが無料で配布しているWeb Debugging Proxy、つまり通信内容をデバックする事ができるツールです。
セッションのリクエスト一覧や、ヘッダ情報、リクエストやレスポンスで実際にやり取りしているデータを直接確認できたりします。

今回紹介するのはそのFiddlerのプラグインであるWatcherです。
Watcherとはブラウザでアクセスしたサイトの脆弱性をスキャンしてくれるプラグインで、最新版のバージョン1.3では文字コード、クッキー、Javascript、Flash、Silverlightなど39種類のチェックを行ってくれます。

Webアプリケーションのセキュリティが重要視されている現在、Fiddler、Watcherを使用して再度確認を行ってみてはどうでしょうか?



実はFiddlerがすごすぎたので、機能まとめ紹介 【blog.loadlimit - digital matter -より】
http://blog.loadlimits.info/2009/09/%E5%AE%9F%E3%81%AFfiddler%E3%81...

K.Y

テーマ:システム開発 - ジャンル:コンピュータ

IPA、SQLインジェクション攻撃対策の資料「安全なSQLの呼び出し方」公開
IPA 安全なウェブサイトの作り方 ~改訂第4版を公開。別冊:「安全なSQLの呼び出し方」を公開。~
http://www.ipa.go.jp/security/vuln/websecurity.html
IPA(独立行政法人情報処理推進機構)が2010年3月18日に「安全なSQLの呼び出し方」というpdfを公開しました。
元々、「安全なウェブサイトの作り方」という92ページにも及ぶPDFが公開されていたのですが、今回はSQLインジェクションに的を絞って実例と対策を具体例を挙げて説明しています。

現在、Webアプリケーションを作成するに当たり、DBは欠かせないものになっています。
当然DBにはSQLが付随し、その結果SQLインジェクションの危険性と常に隣り合わせであることは間違いありません。

わかりやすく記述されているので、開発経験が浅い方は元より、経験が長い方もセキュリティへの意識を高めるという意味で必読です。

また、冒頭で触れた大元のPDF「安全なウェブサイトの作り方」もSQLインジェクション、クロスサイト・スクリプティングなどWebサイトの様々な脅威についてわかりやすく説明している資料なので、見たことがない方は目を通しておくとよいと思います。

K.Y

テーマ:システム開発 - ジャンル:コンピュータ

【@IT】「わざと脆弱性を持たせたWebアプリ」で練習を
http://www.atmarkit.co.jp/fsecurity/column/ueno/59.html

Webの脆弱性にもさまざまなものがありますが、なかなか実際にどのような挙動になるか確認することはできません。大抵のWebサービスは脆弱性が発覚した時点で対応するのが普通ですからね。

上記記事では、そのWeb脆弱性を実際に確認できるアプリケーションがいくつか紹介されています。これならわざわざ自分で専用環境を作らなくてもすぐに脆弱性ってどんなものか、確認することができます。

「百聞は一見に如かず」なんて諺もありますし、是非自分で脆弱性を体感されてみてはいかがでしょう?



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【ITpro】ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
http://itpro.nikkeibp.co.jp/article/COLUMN/20090604/331271/

上記記事では、ミネルヴァ・ホールディングスが運営するアウトドア用品販売のECサイト「ナチュラム」で、実際に起こったクレジットカード情報を含む情報漏えいに対して、どのように対策が講じられたかが紹介されています。

今回の事件ではFTPによる不正侵入とSQLインジェクションによる情報漏えいが原因との事。時系列に事件の顛末が紹介されており、対峙した方々の臨場感が伝わってくるようです。

Webに関わる技術者にとって、この事件は対岸の火事ではありません。セキュリティ対策が如何に重要か、肝に銘じて開発に取り組みたいものです。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

ユーザが制御できないFlashのcookieを半数以上のサイトが使用
「Flash cookie」とは正式名称をLocal Shared Objectといい、FlashがローカルのPCにcookieのようにデータを保存するデータ形式です。

Flashを使用する人間には常識である知識であり、当blogはRIAトピックスである事から、観覧者の方々は当然のように知っている方がほとんどであろう。
だが、私のように知らない方もいらっしゃるであろうという予想の元に投稿です。
日々勉強あるのみ。

ユーザーが制御できない「秘密cookie」、半数強のサイトが利用 【ITmedia Newsより】
http://www.itmedia.co.jp/news/articles/0908/13/news017.html

Flashクッキーの削除の仕方 【うんぬんネット より】
http://unnnunnnet.blog47.fc2.com/blog-entry-224.html

Local Shared Object(Flashクッキー) 【水玉製作所より】
http://www.mztm.jp/wp/2009/06/12/local-shared-object%EF%BC%88flash%E3%82%AF%E3%83%83%E3%82%AD%E3%83%BC%EF%BC%89/

Flash Cookie!ローカル共有オブジェクト! 【All About(オールアバウト)より】
http://allabout.co.jp/gs/flash/closeup/CU20090415A/

Local Shared Object 【Wikipediaより】
http://ja.wikipedia.org/wiki/Local_Shared_Object

K.Y

テーマ:システム開発 - ジャンル:コンピュータ

Excelファイルに自動的に記録される個人情報
コンプライアンスについて最近指導を受けたのですが、そんな中このような記事を見つけたので投稿致します。

作成者と会社名が“丸見え”――ファイルに自動記録される個人情報の削除法 【PC Onlineより】
http://pc.nikkeibp.co.jp/article/column/20090713/1016939/

簡単に言うとExcelでファイルを作成すると、プロパティに作者名と会社名が自動的に付与されるというものです。
この記事を見て手元にあったExcelファイルをいくつか見てみましたが。。。

K.Y

テーマ:システム開発 - ジャンル:コンピュータ

【Think IT】SQLインジェクション大全
第1回:止まらないSQLインジェクション事件
第2回:SQLインジェクションの本当の恐怖
第3回:SQLインジェクションの対策
第4回:ケース別、攻撃の手口

Webサイト攻撃で未だに多いSQLインジェクションについて、網羅的に扱っています。

どういった目的でSQLインジェクションが行われるのか、システム開発における注意点は、防ぎ方は、反対にSQLインジェクションの行い方は、などなど。SQLインジェクションを行うためのツールが配布されているのには結構驚きました。そりゃ減らないわけですね。

SQLインジェクションは簡単な実装で防ぐことが可能ですが、その割には対策を打っていないサービスの被害が出続けています。きちんと把握して、自身の関わるサービスと顧客の安全を確保しましょう。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【gihyo.jp】[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!
http://gihyo.jp/dev/serial/01/hamachiya2

二ヶ月に一度の連載で、はてなでおなじみのセキュリティスペシャリスト:はまちちゃんと14才の女の子のわかばちゃんがWebサービスのセキュリティについて解説してくれるマンガです。

現在までに5回分連載されていて、1~4回まででCSFR(クロスサイトリクエストフォージェリーズ)を、5回目からはXSS(クロスサイトスクリプティング)を解説してくれます。

微妙に萌え系狙いっぽいのがやや気になりますが、マンガなのでスラッと読めてWebサイトの脆弱性について学べるのはありがたいです。このマンガで覚えたキーワードや概要を取っ掛かりにして、他の資料でセキュリティについて学ぶと頭に入りやすいのではないでしょうか。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

copyright © 2005 RIAトピックス all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。