InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
HTTPデジタル署名プロトコルとAPIの提案
JBossのチーフアーキテクトであるRESTEasyプロジェクトの指導者であるBill Burke氏は先週、HTTPデジタル署名プロトコルを提案した。"デジタル署名"は設計されてから10年以上経ってにわかに注目を集めている。この背景には複合的アプリケーションの台頭がある。これらのアプリケーションのクライアントとサービスの間で信頼性を確立する必要があるのだ。
-
SSLは自重によってつぶれてしまうのだろうか?
F5 NetworksのLori MacVittie氏は最近2011年1月に行われたアメリカ政府によるNIST SSLデプロイメントガイドラインの採用について分析した。現在すべての商業認証機関は2048bitキーのみを発行しているため、サーバがSSLを処理する能力は大きく影響を受けており、SSLの計算コストは高くないという一般的に信じられていることの説得力はなくなっている。
-
OpenIDは私たちの期待に応えているだろうか?
OpenIDは複数のWebサイトのユーザ認証プロセスを簡潔にすることを約束してきたが、それが実際にはより多くの問題をうみ出してきたと不満をいうものもある。OpenIDの初期の支援者である37signalsは自社製品でのその利用を中止するという決定を発表した。OpenIDはそれが約束したことを実現しているのだろうか?
-
OpenBSDのバックドア疑惑は確認されず
今月初め、FBIの要求でOpenBSDのIPsecスタックにバックポートが仕込まれたという疑惑が持ち上がった。コードを監査した結果、 OpenBSDの創始者であるTheo de Raadt氏はオープンソースオペレーティングシステムにそうした脅威はないという結論をだした。
-
SOAと情報リスク管理
経験豊富なIBMのSOA熟練者Clive Gee氏は、ITがネットワークの安全を担保する方法がどのように発展して、氏が情報リスク管理と呼ぶものになったかについて記している。アプリケーション統合とサービス指向システムによってコラボレーションの場が増大するにつれて、出現頻度が増え続ける脅威と脆弱性に対してのリスク管理について調べている。
-
セキュリティ アセスメント技術:コードレビュー対ペネトレーション テスト
Webアプリケーションのセキュリティ テストとアセスメントには、セキュリティ コードレビューとペネトレーションテスト技術の両方を含むべきである。 OWASP の役員であるDave Wichers氏は、AppSec DC 2010 カンファレンス で、webアプリケーションのセキュリティ脆弱性を見つけるコードレビューとペネトレーションテストのアプローチのプラスとマイナスについて、講演した。
-
Amazon AWSがISO 27001を認証
先週、AmazonはAmazonウェブサービス、AWSに対するISO/IEC 27001の認証を取得した。この認証が重要なのは、ISO 27001が具体的な管理制御と必須要件が満たされていることを命じているからだ。
-
AppSec DC で Neal Ziring氏が アプリケーションの保証について講演
Neal Ziring氏は、開発者の役割は、変わってきており、アプリケーション防御の第一線になってきた、と言った。氏は、先週のAppSec DC 2010カンファレンスで基調講演を行った。また氏は、回復性や可視性などの側面に焦点を当てて、アプリケーションの保証プロセスについても話した。
-
研究者は、最近増加しているJavaのセキュリティ攻撃を警告
Microsoft の研究者であるHolly Stewart 氏が先週、Javaが、ハッカーがコンピュータを乗っ取る、お好みの標的として、Adobe Acrobatを抜くほど急増している、と警告した。InfoQは、使用された特定の攻撃とそれらに対する修正を調べた。
-
JSF,Ruby on Rails,ASP.NET に影響する「パディングオラクル」
パディングオラクル (Padding Oracle,PO) 攻撃の使用によって,悪意のあるユーザがクッキー,ステート情報,会員パスワードなどの暗号化データをアクセス可能になる。Juliano Rizzo,Thai Duong 両氏はによれば,このセキュリティ上の脆弱性は Java Server Faces(JSF),Ruby on Rails,ASP.NET その他の技術とプラットフォームに影響するものだという。
-
IBM X-Force レポート: 拡大する企業のセキュリティリスク
IBM は IBM X-Force® 2010 中期トレンド・リスクレポート 2010年8月(全112ページ,無料登録が必要) を刊行した。そこでは JavaScript と PDF の難読化,企業における現在のセキュリティ脅威の傾向と将来予想といった,2010 年のセキュリティ脆弱性とエクスプロイト(脆弱性を悪用するコード)に関する詳細な情報が紹介されている。
-
-
OData サービスとクライアントで使用可能な認証機構
WCF データサービスチーム (Data Service Team) は最近,クライアント/ODataサービス認証で使用可能な認証機構に関するシリーズを続けている。
-
Java EE 6: アプリケーション セキュリティの強化
Java Enterprise Edition Version 6 リリースには、webコンテナ の領域における、新しいセキュリティ フィーチャが、Javaアプリケーション開発における、認証と認可の側面と共に含まれている。これらのフィーチャには、web層における、プログラムによるセキュリティ強化と宣言型のセキュリティ強化が含まれている。この投稿は、これらの新しいセキュリティ フィーチャの概要を提供する。
-
モバイルマルウェア: 新たな脅威には新たな対応が必要
スマートフォンとモバイルコンピュータは新たなセキュリティ脅威に対処しなければならない。ソフトウェア対策も利用可能だが、ユーザの認知とユーザの教育がどんな保護スキームにも重要な要素となる。