InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
ThoughtWorksのVuksanovic,Gibson両氏に聞く - インターネットセキュリティ,TLS,HTTP/2
InfoQは先日,ThoughtWorksのMarko Vuksanovic氏とSam Gibson氏から,同社の月刊誌であるThought Works P2で公開された,TLS/HTTPSとHTTP/2に関する両氏の最近の調査について話を聞くことができた。両氏はユビキタスコンピューティング,TLS/HTTPSの働き,証明書信頼(certificate trust),HTTP2のセキュリティへの影響といった,セキュリティに重点を置いた話題に関して,広範な専門知識を提供してくれた。
-
ケンブリッジ大学がAndroidのセキュリティ状況を調査
ケンブリッジ大学の研究者たちが,Androidのセキュリティをデバイス別,バージョン別,年代別に評価する大規模な調査を実施している。その結果,過去4年間の平均として,87%のAndroidデバイスに脆弱性のあることが明らかになった。研究のリーダであるDaniel Thomas氏に話を聞いた。
-
Nexmo Verify SDKは簡単な電話番号ベースの認証を提供する
NexmoがVerify SDK for iOS、Android、JavaScriptを発表した。Nexmoによると、携帯電話番号ベースのセキュアなユーザ登録及び認証を可能にするものだという。
-
-
シークレットを大規模に管理するHashi CorpのVault - Armon Dadgar氏に聞く
Armon Dadgar氏がQCon New Yorkで,最新の生産システムにおけるセキュリティ要件をテーマとした,情報豊富なプレゼンテーションを行った。InfoQはプレゼンテーション後のDadgar氏に面会する機会を得て,大規模システムでシークレット(secret, 秘匿情報)を管理するためのオープンソースツールである,HashiCorpのVaultに関して聞くことにした。
-
QARK: Androidアプリのセキュリティホールを発見する
LinkedInがQARKをオープンソース化した。これはJavaで書かれたAndroidアプリに存在する、潜在的セキュリティ脆弱性を発見するための静的解析ツールだ。
-
2年ぶりのJavaゼロデイ脆弱性
サンドボックスのJava Web StartアプリケーションやサンドボックスのJavaアプレットに影響するゼロデイ脆弱性が最近発表された。これは、2年ぶりのゼロデイ脆弱性だ。この脆弱性は簡単に攻撃されるものであり、すでに攻撃を受けているという懸念から、最高のCVSSリスクスコアが与えられた。Oracleはパッチを提供し、できるだけ早くアップグレードするようユーザに求めている。
-
IntelのMulti-OS EngineがAndroidアプリのiOS移植を可能に
Intelは自社の統合ネイティブ開発環境(INDE)に,Multi-OS Engineと呼ばれる新機能を導入した。Java開発者を対象に,AndroidアプリのiOSプラットフォームへの移植作業を容易にすることが目的だ。
-
Androidの’Stagefright’に脆弱性,数百万のユーザにリスク
Androidに複数の深刻な脆弱性が存在することが発表されたのを受けて,Googleは即座に,Androidユーザを安心させるための対応に着手した。“Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities”は,Androidデバイスで複数の一般的なメディアフォーマット処理に使用されているメディア再生エンジンに対して,攻撃者がMMSメッセージを介してメディアファイルを送信できる,という脆弱性だ。
-
SymantecがFlashゼロデイ攻撃の可能性を指摘
Symantecは,HackDayのリークから発見された(攻撃対象となり得る)ゼロデイ脆弱性を利用した,リモートコード実行の可能について報告している。Adobeは近日中にFlashをアップデートする予定だが,現時点で有効な対策はFlashを無効にする以外にはないようだ。
-
コンテナ技術は実用化へのキャズムを超えられるか
最近の調査によると,ITプロフェッショナルで実行環境としてコンテナを利用しているのは,わずか38%であることが分かった。コンテナ利用と採用に関する現状を調査したClusterHQの結果でも,回答者の73%は,コンテナをVM環境で動作させている,と回答している。
-
MozillaはFlashをブロックしてHTML5の採用を推奨
Mozillaは、セキュリティの問題でブラウザのプラグインをブロックした後で、開発者にFlashから離れて、HTML5とJavaScriptに向かうことを推奨している。 2つの重要な脆弱性が、攻撃者に対して影響を受けるシステムの制御を可能にする可能性があるというAdobeのアドバイスに続いて、FirefoxのサポートのヘッドであるMark Schmidt氏は、Twitterで発表した。
-
AWS s2n: 6,000行ほどのオープンソースTLS実装
Amazon Web Servicesがs2nを発表した。これは “signal to noise” を縮めたもので、TLS/SSLプロトコルのオープンソース実装だ。「シンプルで、小さく、高速で、安全であることを優先して」作られている。
-
パスワード管理サイトLastPassがハッキングの被害に
Webベースのパスワード管理サービスであるLastPassがハッキングされ,その結果,Eメールアドレスや認証ハッシュを含むユーザ情報が,未知の攻撃者によって取得された。この事件はユーザにとって,すべてのパスワードを中央サーバに置くことのリスクを教えるものだ。
-
GitHubが安全性に問題のあるSSH鍵を無効化
GitHubは先頃,漏えいした,あるいは安全でないと判断されたSSHキーの無効化を開始した。この問題を明らかにした調査を行ったのは,システムエンジニアのBen Cartwright-Cox氏である。InfoQは氏に話を聞いた。