InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
研究者がライブラリと人気のある非ブラウザサービスにおけるその使い方に存在するSSLの脆弱性を公開
「世界で最も危険なコード:非ブラウザソフトウェアにおけるSSL証明書の検証」と題するACM CCS'12 の会報の中で最近公開されたのは、非ブラウザアプリケーションにおけるSSLライブラリとその使い方における重大な脆弱性である。学んだことと開発者とテスターへの確実な推奨事項がこの記事を読むことで共有される。
-
Microsoftアカウントであなたのアプリをパワーアップ
Windows 8 の中心テーマは、 Microsoft Accountである。これは、Microsoftとサードパーティのサービスの両方にシングルサインオン・システムを提供する別の試みだ。MicrosoftアカウントはWindows 8アプリ、通常のwebサイト,Windows Phone, Android,iOSで使える。
-
Window Store アプリのセキュリティについて
従来は人気のあるサービスやアプリケーションだけが攻撃の対象になるものと考えられていた。しかし現在では,少数あるいはまったくユーザのいない新規サービスでさえ,ハッカーの標的とされていることも珍しくない。先日の //Build session で Josh Dunn 氏は,Windows 8 アプリケーションに一般的に見られる脆弱性のいくつかについて説明を行った。
-
JSONペイロードのASP.NET Anti-Forgeryトークン
ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。
-
Microsoftが多要素認証を提供するPhoneFactorを買収
Microsoftがユーザの電話を使った多要素認証を提供するPhoneFactorを買収した。Microsoftによれば、この買収によって同社の製品に新しいセキュリティの仕組みがもたらされる。
-
1週間で、またJavaのセキュリティホールが見つかる
ポーランドのセキュリティ新興企業Security Explorationsは、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。
-
Javaのセキュリティ問題に悩むOracleとApple
近頃、明確なセキュリティ問題CVE-2012-4681とブラウザプラグインを狙った複数の脆弱性に対する拙い反応が原因でJavaが話題になっている。
-
Windows Identity Foundationは、.NET 4.5に含まれている
Windows Identity Foundation (WIF)は、アプリケーションにクレームベースの認証を統合するMicrosoftのフレームワークで、現在は.NET Frameworkの一部になっている。WIFはアクセス制御と認証をシンプルにして、クレームのセキュリティトークンをベースとした複数のアプリケーションをまたいだシングルサインオンを可能にする。
-
-
高速ハッシュの 脆弱性
Troy Hunt氏がSqlMembershipProviderを使ったパスワードのハッシュがブルートフォースアタックに対して脆弱であることをデモで示し、いくつかの対策案を示している。
-
Googleの新IaaS製品は、クラウドでLinux VMを走らせる
Googleは今日、Compute Engineの詳細を明らかにした。これは、Googleのクラウドインフラを使って、オンデマンドでLinux VMを走らせるIaaS製品である。Google Compute Engine (GCE)は、仮想コア当たり 3.75GB RAMを持つ、 1, 2, 4 そして 8ヶの仮想コアVMをサポートする。
-
LinkedInのパスワード流出が作り話だったとしたら?
先日、大手サイトのLinkedInとeHarmonyは、パスワードのリスト(ユーザ名ではない)が流出し、ネット上に投稿されたことを認めた。この2つのサイトに続いて、Last.fmも情報漏えいが疑われたため、積極的にパスワードの再設定を促している。しかし、こうした漏えいが作り話だったとしたら、一体どのようなメリットがあるのだろうか。
-
Yahoo! Axis!は、未完成
Yahooは、検索プラグインAxisをリリースした。これによってクライアントは、サーバー上でレンダリングされるグラフィカルなプレビュー付きのwebコンテンツを検索できる。不幸にして、それらはChromeエクステンションに署名する秘密キーを漏らしてしまう。読み続けて欲しい。
-
MoSH - モバイルシェル (The Mobile Shell)
Mobile Shell には,モバイルおよびローミングクライアント用にコネクションを提供するための,新たなアプローチが数多く採用されている。
-
クラウドセキュリティアセスメントの将来: Microsoft、CSAのレジストリ登録をリード
MicrosoftはがCloud Security AllianceのセキュリティレジストリSTARにOffice 365、Windows Azure、Dynamics CRMのセキュリティアセスメントを登録した。パブリッククラウドのセキュリティ懸念が大きくなる中、Microsoftはセキュリティアセスメントを登録した最初の大規模なクラウドサービスプロバイダとなった。