InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
ほとんどのWebサーバーに影響するメジャーなサービス拒否脆弱性
セキュリティ研究者のAlexander Klink氏とJulian Wälde氏は、つい先日まで大部分のWebサーバーに影響を与える可能性のあった深刻な脆弱性を明らかにした。攻撃は、ハッシュコードの衝突を作り出すように設計されたPOSTフォームデータを送る、単一のHTTPリクエストだけである。最初にこの攻撃が発見されたとき、Python、Ruby、PHP、Java、ASP.NETが影響を受けたが、ベンダーはパッチの開発を行った。
-
Spring Security 3.1: 複数のhttp要素、ステートレス、デバッグ、Crypto、HttpOnly、カスタムform-loginパラメータ
SpringSourceはSpring Security 3.1.0をリリースした。これには、複数のhttp要素、ステートレスオプション、デバッグ要素、Cryptoモジュール、HttpOnly、セキュアクッキー、ログアウト時のクッキー削除、CASチケット、JAAS構成、authentication-manager-ref、request-matcher-ref、authentication-details-source-ref、form-loginのusername-parameterとpassword-parameterなどの新機能が含まれる。
-
Paul R. Croll氏がIEEEのHans Karlsson Standards Award 2012を受賞
IEEEはKarlsson Standard Award 2012をPaul R. Croll氏に与えることを発表した。IEEEのシステムソフトウエア標準化委員会でリーダーシップを発揮し、協調性と交渉力で高品質な標準の開発を推し進めることに貢献した。
-
個人開発者向けのコードサイニング
コードサイニング (Code Signing)とは、プログラムをダウンロードして実行する前にインターネットに公開されたプログラムを信頼するための仕組みだ。これまではそのコストとプロセスのために、個人開発者にはなかなか手が届かないものだった。しかし今ではいくつかのストアが個人開発者向けにThawteコードサイニング証明書を年99ドルで提供している。
-
Windows 8の共通パスワードストレージ
ユビキタスアクセスの約束により、Windows 8は、共通のパスワード管理を提供する予定である。Windows 8資格情報ストレージは、すべてのユーザー名とパスワードを単一のアカウントに結びつけ、ユーザーと共に移動することができるようにしようとしている。また、この機能は、すべてのアプリケーションから利用可能になる予定である。
-
SABSA セキュリティアーキテクチャアプローチの TOGAF フレームワークへの統合
セキュリティアーキテクチャは常にエンタープライズアーキテクチャとは別の規律として考えられてきた。その結果が断片的な戦略や,さらにはセキュリティ上の脆弱性露見の増加となって表れている。SABSA のコンセプトを TOGAF フレームワークに統合することによって,アーキテクトはビジネス要件に伴って生じるセキュリティ上の懸念に対処し,リスク駆動のエンタープライズアーキテクチャアプローチの加速が可能となる。
-
WebGL, WebCL, マルチコア: RiverTrailによるブラウザーでの並列JavaScriptの状況と将来
現在ではモバイルデバイスでさえ、並列処理能力を使えるのにJavaScriptは、シーケンシャルのままであった。 Intel Labsは、マルチコアシステムの利点を活かすJavaScriptの拡張に取り組んで、Firefoxプラグインをリリースした。InfoQは、この開発について Intel Labsの Stephan Herhut氏に独占インタビューした。
-
AmazonとEucalyptusのセキュリティ脆弱性
ドイツの研究者が最近発表した研究によれば、Amazon Web Services (AWS)とEucalyptusのSOAPとウェブインターフェイスに複数の脆弱性があることが明らかになった。この脆弱性は複数のユーザやクラウド全体のセキュリティに影響するアーキテクチャ上の選択に関わる。
-
リスク管理対象としてのソフトウェア開発
ソフトウェア開発はリスクと不確実性の管理を金融手法に見出すべきだろうか? このような疑問が,アジャイルソフトウェア開発の "Last Responsible Moment (可能な限り決定を遅らせる)" という意思決定方法をめぐる議論を通じて浮かび上がってきた。この記事ではソフトウェア開発において,リスク管理と計画に金融的概念を用いることに関する最近の傾向と議論について取り上げている。
-
Ron Monzillo 氏,Java Identity API と JSR 351 を語る
Java Identity API は Java アプリケーションの ID 属性を表現し,操作するためのフレームワークを提供する API である。その基本となる JSR 351 の仕様リーダである Ron Monzillo 氏が,先週の JavaOne 2011 Conference で講演を行った。氏はそこで JSR の提案範囲,現在の状況,そして仕様の将来的計画について論じている。
-
MozillaがJavaをブラックリストに入れることを検討
Mozilla Foundationは公式にブラウザ環境でのJavaを無効化することを検討している。これは、ブラウザにセキュリティ上の弱点を持ち込む要素のトップ3の1つがJavaであることを示す最近の研究結果にもとづくものである。
-
Kernel.orgがセキュリティ侵害から復帰
Kernel.orgのセキュリティ侵害がアナウンスされ、(その後オフラインにされた)以来1ヶ月以上経って、Kernel.orgのwebサイトがオンラインに戻された。
-
Tizen - Intel と Samsung が開発するオープンソースの新モバイル OS
Intel は MeeGo をあきらめて,HTML5 など新たな Web 技術をベースとするモバイル OS の Tizen を新たに開発することで Samsung と手を結んだ。
-
JavaScriptに並列処理機能を追加する、IntelのJavaScript拡張機能が明らかに
並列処理は今やモバイルデバイス上でさえ利用可能だが、JavaScriptの大部分は未だにシーケンシャルである。Intel Labsはマルチコアシステムを有効活用するJavaScript拡張機能に取り組み、Firefoxプラグインをリリースした。
-
Amazon が企業をクラウド利用に誘う新サービスをリリース
Amazon.com は自社クラウドコンピューティングのポートフォリオに3つの新機能を正式に追加した。Direct Connect の導入と Virtual Private Cloud のアップデート,そして Identity and Access Management サービスである。ターゲットとするのは,Amazon Web Service プラットフォーム上でハイブリッドあるいはプライベートクラウドの構築を計画中の組織だ。