RIAトピックス
リッチクライアント/RIAを主テーマに取り扱います。Flex、Ajax、AIR、Silverlight、JavaFX、etc。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【あるSEのつぶやき】新社会人向けセキュリティコンテンツがいい感じ
http://fnya.cocolog-nifty.com/blog/2009/04/post-48ed.html

新社会人に向けたセキュリティに関する記事が照会されています。読んでみると一度は読んだことのあるような内容が並んでいますが、セキュリティに関しては徹底しすぎて困ることは決してありません。自身が新社会人か否かに関わらず、自分の為に、また自分の所属する会社の為に、きちんと正しいセキュリティ知識を身に付けておきましょう。

【あるSEのつぶやき】JPCERT/CCの新入社員教育用のセキュリティマニュアルがいい感じ



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【Internet Watch】主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは
http://internet.watch.impress.co.jp/cda/news/2009/03/03/22653.html

最近Webのセキュリティ関連情報で頻繁に話題に上る
「クリックジャッキング」について説明されています。

要はユーザーがクリックするであろう箇所に
サイト攻撃者がこっそり自分の動作させたい
ロジックを仕込んだオブジェクトを上重ねして
ユーザーに誤った行動を取らせる、というもの。


まぁ何のこっちゃか分からん、と言う人は
良いサンプルがありますので
もし「はてなブックマーク」のアカウントをお持ちなら
以下のサイトを試してみて下さい。

クリックジャッキングってこうですか? わかりません

セキュリティエキスパート、
はまちちゃんさんが作った、
クリックジャッキングを体験できるサイトです。

「秘宝館」をクリックしても
残念ながら(?)えっちい画像は手に入りません。
一見なにも起こって無い様に見えますが
その後、画面の下の方にある
秘宝館に入場してくれた人たち
をクリックしてみると…。
ええ、私も引っかかったクチです。

これは非常に楽しくクリックジャッキングを
体験できるのですが、実際のクリックジャッキングは
銀行サイトや決済ページなどを乗っ取り、
ユーザーに偽のサイトに誘導して情報を盗み出す、という
かなり怖いシロモノです。しっかり対策を身に付けて、
自分と自分の開発したシステムを使うユーザーを守りましょう。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【@IT】USBメモリを悪者にしないための“プラスアルファ”
http://www.atmarkit.co.jp/fsecurity/rensai/tipstoday01/tips01.html

以前から情報漏えいの観点から、
USBメモリの使用を抑制するような動きが目立ちますが、
それに輪をかけて、USBメモリを媒介にして
感染するコンピュータウィルスが話題になり、
なおさらUSBメモリが使いづらい世の中になりつつあります。

でも、随分と大容量化されてきましたし、
使うなと言われると結構困りますよね、USBメモリ。

上記記事では、USBメモリを媒介にするウィルスが
どんな仕組みで感染するのか、
どうやったら感染を防げるか、が紹介されています。

まぁ、これらを守ったからと言って、
情報漏えいウンヌンはまた別の問題です。
各職場のルールに従って、適正に使用して下さい。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【ベリサイン】「グローバル・サーバID」署名アルゴリズム変更日時決定のお知らせ
http://www.verisign.co.jp/ssl/about/20080919.html

先日、MD5の脆弱性から証明書の偽造に成功
というニュースを紹介しましたが、
セキュリティサービス大手のベリサインでは
既に昨年末の段階で対応していたらしいです。

まぁ元々このMD5の偽造も
PlayStation3を200台使ってやっと行える、というものらしく、
そんなに心配する必要は無いらしいんですが、
それを抜きにしても、
ベリサインを利用されている方は一安心ですね。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【ITmedia】SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用
http://www.itmedia.co.jp/enterprise/articles/0901/06/news030.html

新年明けましておめでとうございます。
本年もRIAトピックスをどうぞ宜しくお願い申し上げます。


新年最初の記事としては、
非常に思わしくない話題なんですが、
米国のセキュリティ研究者が「MD5」の脆弱性を突いて
認証局(CA)が発行するSSL証明書の偽造に成功したそうです。

現時点でこのMD5の脆弱性の解決策は無いらしく、
これを受けて、US-CERT社やMicrosoft社では
利用中止を促しているとの事。

う~ん、これは弱りましたね。

私は証明書に関しては素人なので、
今ざっと調べた範囲でしか分かりませんが、
SSL証明書はMD5のほかにも「SHA-1」という
アルゴリズムを用いて作成できるようです。
(この点に関しては自信が無いので、
必ず自身でご確認をお願いします)
当面はこちらに切り替えて利用するほか無いようですね。


※1/7追記
「HA-1はMD4のアルゴリズムを元につくられた」
というコメントを頂きました。
下記の記事からも、SHAであれば問題ないようです。


【ITpro】「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用
【japan.internet.com】『MD5』の脆弱性が明らかに



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【ITmedia】SSLを過信していませんか――ネットバンキングに潜む誤解とは
http://www.itmedia.co.jp/enterprise/articles/0811/29/news001.html

ちょっと前から話題になり、未だに猛威を振るっている
フィッシング詐欺、対象のサイトがSSL通信を採用している
からといって安心ではありません。

上記は、個人的には一般の人向けのような
比較的平易なレベルで書かれており、
まぁそもそも「SSL」がどういうものか分かってない、
ってのはWebエンジニアでは皆無だと思いたいのですが、
念の為認識が誤ってないか、確認してみて下さい。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【ITpro】5つのセキュリティ問題を抱える「Flash Player 9」を使い続けますか?
http://itpro.nikkeibp.co.jp/article/COLUMN/20081020/317318/

上記はFlash Player10を、最新の機能ではなくて

> (1)FP10に既知のセキュリティホールは残っていないか?
> (2)FP10使用時の注意事項はないか?
> (3)FP9以前のver.は、いつ使用できなくなるのか?

という、運用面にフォーカスして書かれた記事です。

特に
「クリップボード・アタック」と
「クリック・ジャッキング」については
分かり易い説明が書かれています。

この記事のタイトルはいわゆる「釣り」の類だと思いますし、
FP10では動かないサイトもあるのですが、
セキュリティ面を考慮するとやはり、
できるだけ早くFP10に移行した方が良いでしょう。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【Kanasansoft Web Lab.】XSSを修正しないという事
http://www.kanasansoft.com/weblab/2008/10/xss.html

XSS(クロスサイトスクリプティング)について
切々と危険性を述べて…、というか、これはお説教ですね。

JavaScriptによるXSSのサンプルを用いて
XSSの危険性を指摘しています。
私はたまたま条件を満たしてなかったようで
サンプルの効果を実感できなかったんですが、
ソースを読む限り、検索したキーワードと
連動してるみたいですね。

ともかく、まずは実感してみて、
それからXSSについて真剣に考えてみてください。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【@IT】クッキーに隠されたSQLインジェクション、対策は?
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/008.html

新手のSQLインジェクションの手口について
説明された記事です。

Cookieの中にSQLインジェクションを仕込んで置く、
という手口で、今までの防御方法だと
すり抜けてしまうそうです。おっかねー。

アプリケーション側の対策としては
入り口が入力項目ではなく、
Cookieになっただけなので
今までと同様、通常のSQLインジェクション対策を
きちんと施していることが大事だとのこと。

Cookieの値に対しても、チェックは必要ですよ。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

【builder by ZDNet Japan】予告.inが突かれたXSS脆弱性とは?
http://builder.japan.zdnet.com/member/u509782/blog/2008/08/07/entry_27012799/

予告.inというサービスについて覚えていますか?

最近は無尽蔵に通報・逮捕されてしまい、
ネットで叩かれているようですが、
そんなの道具の使い方が間違っているだけで
開発した矢野さんに非があるわけじゃないと思うんですがねぃ。

で、その予告.inがXSS攻撃を受けてしまい、
ネット内の殺人予告を通報しようとすると
逆に2ちゃんねるに殺人予告を書き込んでしまう、
という悪質なスクリプトを埋め込まれたようです。
とんでもねー。

上記記事にはその事件の顛末の概要と
対象となったXSS攻撃の防ぎ方の
簡単な説明が書かれています。

XSSは発見が非常に難しく
今回の事件は決して対岸の火事では無いと思います。
Webアプリ開発者としてはぜひとも教訓としていきたいところです。



ヨウイチ

テーマ:システム開発 - ジャンル:コンピュータ

copyright © 2005 RIAトピックス all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。