InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
LinkedInのパスワード流出が作り話だったとしたら?
先日、大手サイトのLinkedInとeHarmonyは、パスワードのリスト(ユーザ名ではない)が流出し、ネット上に投稿されたことを認めた。この2つのサイトに続いて、Last.fmも情報漏えいが疑われたため、積極的にパスワードの再設定を促している。しかし、こうした漏えいが作り話だったとしたら、一体どのようなメリットがあるのだろうか。
-
Yahoo! Axis!は、未完成
Yahooは、検索プラグインAxisをリリースした。これによってクライアントは、サーバー上でレンダリングされるグラフィカルなプレビュー付きのwebコンテンツを検索できる。不幸にして、それらはChromeエクステンションに署名する秘密キーを漏らしてしまう。読み続けて欲しい。
-
MoSH - モバイルシェル (The Mobile Shell)
Mobile Shell には,モバイルおよびローミングクライアント用にコネクションを提供するための,新たなアプローチが数多く採用されている。
-
クラウドセキュリティアセスメントの将来: Microsoft、CSAのレジストリ登録をリード
MicrosoftはがCloud Security AllianceのセキュリティレジストリSTARにOffice 365、Windows Azure、Dynamics CRMのセキュリティアセスメントを登録した。パブリッククラウドのセキュリティ懸念が大きくなる中、Microsoftはセキュリティアセスメントを登録した最初の大規模なクラウドサービスプロバイダとなった。
-
HTML5 (WebSockets)の脆弱性?
Lori Macvittie氏がWebSocketsの脆弱性について懸念を表明している。WebSocketsにはHTTPヘッダやMIMEタイプがないからだ。セキュリティに関してWebSocketsの土台はどのようにあるべきかを考える時期に来ているようだ。
-
GitHub、Mass Assignment利用の脆弱性を突かれる
先日、GitHubはRuby on Railsのmass assignment機能の脆弱性を突かれた。この脆弱性は数多くのRubyベースのサイトだけではなく、ASP.NET MVCや他のORMフレームワークを使用したサイトにも影響を及ぼす可能性がある。
-
セキュアなコード開発はアジャイルの犠牲になるのか
アジャイルチームは,信頼性と品質の高いコードを短期間に作り出すことで知られている。その一方で,迅速なデリバリに対するプレッシャーがレビューの省略,テストの短縮,コードの安全性に対する配慮の欠如に結び付く可能性もある。アジャイルにセキュアな開発を求めるのは無理な話なのだろうか?
-
SEIが内部的脅威に関するガイドブックを発刊
ACTA、SEPA、PIPA、Stuxnet、Googleの共通点は何だろう。皆、情報セキュリティ関連で先月メディアを賑わせたが、共通するのは組織内部の脅威によって企業情報の諜報や詐取が行われる危険があることを忘れているの点だ。
-
監査機能を強化したHibernate 4.1がリリース
JBossはEnversモジュールを改善したHibernate 4.1をリリースした。監査対象の属性の変更を引き起こしたデータベースのリビジョンを特定することができる。
-
Silverlight 5のセキュリティ
Silverlightの役割はあまり理解されてこなかった。当初はFlashと競合するものだと思われていたが、今ではFlash自体がHTML5に取って代わられつつある。また、クロスプラットフォームのアプケーションの実行環境だと見なされていたが、AppleのiOSに関するポリシーのおかげで見込みがなくなった。現在、Silverlightは驚くべきことに企業内のビジネスアプリケーションのようなWPFが使われそうな領域で盛んに使われている。Silverlight 5のセキュリティモデルのアップグレードもこのような使われ方を反映している。
-
ほとんどのWebサーバーに影響するメジャーなサービス拒否脆弱性
セキュリティ研究者のAlexander Klink氏とJulian Wälde氏は、つい先日まで大部分のWebサーバーに影響を与える可能性のあった深刻な脆弱性を明らかにした。攻撃は、ハッシュコードの衝突を作り出すように設計されたPOSTフォームデータを送る、単一のHTTPリクエストだけである。最初にこの攻撃が発見されたとき、Python、Ruby、PHP、Java、ASP.NETが影響を受けたが、ベンダーはパッチの開発を行った。
-
Spring Security 3.1: 複数のhttp要素、ステートレス、デバッグ、Crypto、HttpOnly、カスタムform-loginパラメータ
SpringSourceはSpring Security 3.1.0をリリースした。これには、複数のhttp要素、ステートレスオプション、デバッグ要素、Cryptoモジュール、HttpOnly、セキュアクッキー、ログアウト時のクッキー削除、CASチケット、JAAS構成、authentication-manager-ref、request-matcher-ref、authentication-details-source-ref、form-loginのusername-parameterとpassword-parameterなどの新機能が含まれる。
-
Paul R. Croll氏がIEEEのHans Karlsson Standards Award 2012を受賞
IEEEはKarlsson Standard Award 2012をPaul R. Croll氏に与えることを発表した。IEEEのシステムソフトウエア標準化委員会でリーダーシップを発揮し、協調性と交渉力で高品質な標準の開発を推し進めることに貢献した。
-
個人開発者向けのコードサイニング
コードサイニング (Code Signing)とは、プログラムをダウンロードして実行する前にインターネットに公開されたプログラムを信頼するための仕組みだ。これまではそのコストとプロセスのために、個人開発者にはなかなか手が届かないものだった。しかし今ではいくつかのストアが個人開発者向けにThawteコードサイニング証明書を年99ドルで提供している。
-
Windows 8の共通パスワードストレージ
ユビキタスアクセスの約束により、Windows 8は、共通のパスワード管理を提供する予定である。Windows 8資格情報ストレージは、すべてのユーザー名とパスワードを単一のアカウントに結びつけ、ユーザーと共に移動することができるようにしようとしている。また、この機能は、すべてのアプリケーションから利用可能になる予定である。