InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Activation Console、Mono for AndroidをサポートしたCryptoLicensing v2013 for .Net
CryptoLicensing v2013 for .Netには、ライセンスサービスアクティベーションコンソール、新しいメソッド、プロパティとMono、Androidプラットフォームのサポート、いくつかの改善とバグフィックスが含まれている。
-
OrcaleがJava 7のセキュリティフィックスをリリース
Oracleは今日,リフレクションAPIコールの操作を通じたアプレットサンドボックス回避に関連する,リモートコード実行の脆弱性のセキュリティフィックスを含む Java 7u11 をリリースした。詳細な内容,影響度の確認方法については本文を参詳してほしい。
-
ASP.NETの改善された暗号化
.NET 4.5は新しいProtectとUnprotect APIでASP.NETで処理される暗号化の方法を改善し、また、さまざまな内部変更が行われている。Levi Broderick氏は、モチベーション、変更、互換性について連載記事で解説している。
-
研究者がライブラリと人気のある非ブラウザサービスにおけるその使い方に存在するSSLの脆弱性を公開
「世界で最も危険なコード:非ブラウザソフトウェアにおけるSSL証明書の検証」と題するACM CCS'12 の会報の中で最近公開されたのは、非ブラウザアプリケーションにおけるSSLライブラリとその使い方における重大な脆弱性である。学んだことと開発者とテスターへの確実な推奨事項がこの記事を読むことで共有される。
-
Microsoftアカウントであなたのアプリをパワーアップ
Windows 8 の中心テーマは、 Microsoft Accountである。これは、Microsoftとサードパーティのサービスの両方にシングルサインオン・システムを提供する別の試みだ。MicrosoftアカウントはWindows 8アプリ、通常のwebサイト,Windows Phone, Android,iOSで使える。
-
Window Store アプリのセキュリティについて
従来は人気のあるサービスやアプリケーションだけが攻撃の対象になるものと考えられていた。しかし現在では,少数あるいはまったくユーザのいない新規サービスでさえ,ハッカーの標的とされていることも珍しくない。先日の //Build session で Josh Dunn 氏は,Windows 8 アプリケーションに一般的に見られる脆弱性のいくつかについて説明を行った。
-
JSONペイロードのASP.NET Anti-Forgeryトークン
ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。
-
Microsoftが多要素認証を提供するPhoneFactorを買収
Microsoftがユーザの電話を使った多要素認証を提供するPhoneFactorを買収した。Microsoftによれば、この買収によって同社の製品に新しいセキュリティの仕組みがもたらされる。
-
1週間で、またJavaのセキュリティホールが見つかる
ポーランドのセキュリティ新興企業Security Explorationsは、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。
-
Javaのセキュリティ問題に悩むOracleとApple
近頃、明確なセキュリティ問題CVE-2012-4681とブラウザプラグインを狙った複数の脆弱性に対する拙い反応が原因でJavaが話題になっている。
-
Windows Identity Foundationは、.NET 4.5に含まれている
Windows Identity Foundation (WIF)は、アプリケーションにクレームベースの認証を統合するMicrosoftのフレームワークで、現在は.NET Frameworkの一部になっている。WIFはアクセス制御と認証をシンプルにして、クレームのセキュリティトークンをベースとした複数のアプリケーションをまたいだシングルサインオンを可能にする。
-
-
高速ハッシュの 脆弱性
Troy Hunt氏がSqlMembershipProviderを使ったパスワードのハッシュがブルートフォースアタックに対して脆弱であることをデモで示し、いくつかの対策案を示している。
-
Googleの新IaaS製品は、クラウドでLinux VMを走らせる
Googleは今日、Compute Engineの詳細を明らかにした。これは、Googleのクラウドインフラを使って、オンデマンドでLinux VMを走らせるIaaS製品である。Google Compute Engine (GCE)は、仮想コア当たり 3.75GB RAMを持つ、 1, 2, 4 そして 8ヶの仮想コアVMをサポートする。
-
LinkedInのパスワード流出が作り話だったとしたら?
先日、大手サイトのLinkedInとeHarmonyは、パスワードのリスト(ユーザ名ではない)が流出し、ネット上に投稿されたことを認めた。この2つのサイトに続いて、Last.fmも情報漏えいが疑われたため、積極的にパスワードの再設定を促している。しかし、こうした漏えいが作り話だったとしたら、一体どのようなメリットがあるのだろうか。