InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
クラウドセキュリティアセスメントの将来: Microsoft、CSAのレジストリ登録をリード
MicrosoftはがCloud Security AllianceのセキュリティレジストリSTARにOffice 365、Windows Azure、Dynamics CRMのセキュリティアセスメントを登録した。パブリッククラウドのセキュリティ懸念が大きくなる中、Microsoftはセキュリティアセスメントを登録した最初の大規模なクラウドサービスプロバイダとなった。
-
HTML5 (WebSockets)の脆弱性?
Lori Macvittie氏がWebSocketsの脆弱性について懸念を表明している。WebSocketsにはHTTPヘッダやMIMEタイプがないからだ。セキュリティに関してWebSocketsの土台はどのようにあるべきかを考える時期に来ているようだ。
-
GitHub、Mass Assignment利用の脆弱性を突かれる
先日、GitHubはRuby on Railsのmass assignment機能の脆弱性を突かれた。この脆弱性は数多くのRubyベースのサイトだけではなく、ASP.NET MVCや他のORMフレームワークを使用したサイトにも影響を及ぼす可能性がある。
-
セキュアなコード開発はアジャイルの犠牲になるのか
アジャイルチームは,信頼性と品質の高いコードを短期間に作り出すことで知られている。その一方で,迅速なデリバリに対するプレッシャーがレビューの省略,テストの短縮,コードの安全性に対する配慮の欠如に結び付く可能性もある。アジャイルにセキュアな開発を求めるのは無理な話なのだろうか?
-
SEIが内部的脅威に関するガイドブックを発刊
ACTA、SEPA、PIPA、Stuxnet、Googleの共通点は何だろう。皆、情報セキュリティ関連で先月メディアを賑わせたが、共通するのは組織内部の脅威によって企業情報の諜報や詐取が行われる危険があることを忘れているの点だ。
-
監査機能を強化したHibernate 4.1がリリース
JBossはEnversモジュールを改善したHibernate 4.1をリリースした。監査対象の属性の変更を引き起こしたデータベースのリビジョンを特定することができる。
-
Silverlight 5のセキュリティ
Silverlightの役割はあまり理解されてこなかった。当初はFlashと競合するものだと思われていたが、今ではFlash自体がHTML5に取って代わられつつある。また、クロスプラットフォームのアプケーションの実行環境だと見なされていたが、AppleのiOSに関するポリシーのおかげで見込みがなくなった。現在、Silverlightは驚くべきことに企業内のビジネスアプリケーションのようなWPFが使われそうな領域で盛んに使われている。Silverlight 5のセキュリティモデルのアップグレードもこのような使われ方を反映している。
-
ほとんどのWebサーバーに影響するメジャーなサービス拒否脆弱性
セキュリティ研究者のAlexander Klink氏とJulian Wälde氏は、つい先日まで大部分のWebサーバーに影響を与える可能性のあった深刻な脆弱性を明らかにした。攻撃は、ハッシュコードの衝突を作り出すように設計されたPOSTフォームデータを送る、単一のHTTPリクエストだけである。最初にこの攻撃が発見されたとき、Python、Ruby、PHP、Java、ASP.NETが影響を受けたが、ベンダーはパッチの開発を行った。
-
Spring Security 3.1: 複数のhttp要素、ステートレス、デバッグ、Crypto、HttpOnly、カスタムform-loginパラメータ
SpringSourceはSpring Security 3.1.0をリリースした。これには、複数のhttp要素、ステートレスオプション、デバッグ要素、Cryptoモジュール、HttpOnly、セキュアクッキー、ログアウト時のクッキー削除、CASチケット、JAAS構成、authentication-manager-ref、request-matcher-ref、authentication-details-source-ref、form-loginのusername-parameterとpassword-parameterなどの新機能が含まれる。
-
Paul R. Croll氏がIEEEのHans Karlsson Standards Award 2012を受賞
IEEEはKarlsson Standard Award 2012をPaul R. Croll氏に与えることを発表した。IEEEのシステムソフトウエア標準化委員会でリーダーシップを発揮し、協調性と交渉力で高品質な標準の開発を推し進めることに貢献した。
-
個人開発者向けのコードサイニング
コードサイニング (Code Signing)とは、プログラムをダウンロードして実行する前にインターネットに公開されたプログラムを信頼するための仕組みだ。これまではそのコストとプロセスのために、個人開発者にはなかなか手が届かないものだった。しかし今ではいくつかのストアが個人開発者向けにThawteコードサイニング証明書を年99ドルで提供している。
-
Windows 8の共通パスワードストレージ
ユビキタスアクセスの約束により、Windows 8は、共通のパスワード管理を提供する予定である。Windows 8資格情報ストレージは、すべてのユーザー名とパスワードを単一のアカウントに結びつけ、ユーザーと共に移動することができるようにしようとしている。また、この機能は、すべてのアプリケーションから利用可能になる予定である。
-
SABSA セキュリティアーキテクチャアプローチの TOGAF フレームワークへの統合
セキュリティアーキテクチャは常にエンタープライズアーキテクチャとは別の規律として考えられてきた。その結果が断片的な戦略や,さらにはセキュリティ上の脆弱性露見の増加となって表れている。SABSA のコンセプトを TOGAF フレームワークに統合することによって,アーキテクトはビジネス要件に伴って生じるセキュリティ上の懸念に対処し,リスク駆動のエンタープライズアーキテクチャアプローチの加速が可能となる。
-
WebGL, WebCL, マルチコア: RiverTrailによるブラウザーでの並列JavaScriptの状況と将来
現在ではモバイルデバイスでさえ、並列処理能力を使えるのにJavaScriptは、シーケンシャルのままであった。 Intel Labsは、マルチコアシステムの利点を活かすJavaScriptの拡張に取り組んで、Firefoxプラグインをリリースした。InfoQは、この開発について Intel Labsの Stephan Herhut氏に独占インタビューした。
-
AmazonとEucalyptusのセキュリティ脆弱性
ドイツの研究者が最近発表した研究によれば、Amazon Web Services (AWS)とEucalyptusのSOAPとウェブインターフェイスに複数の脆弱性があることが明らかになった。この脆弱性は複数のユーザやクラウド全体のセキュリティに影響するアーキテクチャ上の選択に関わる。