InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
モバイルマルウェア: 新たな脅威には新たな対応が必要
スマートフォンとモバイルコンピュータは新たなセキュリティ脅威に対処しなければならない。ソフトウェア対策も利用可能だが、ユーザの認知とユーザの教育がどんな保護スキームにも重要な要素となる。
-
頑丈なソフトウェアマニフェスト
ほとんどのソフトプロジェクトでは、セキュリティは見落されているか、後付けになっていることが多い。ほとんどの開発チームは、セキュリティ侵害が起こるのを避けるために時間を費やすよりも、机上の機能を実現することに注力する。そこで開発者が頑丈なソフトウェアの重要性について自覚するのに役立つよう、Joshua Corman氏、David Rice氏、Jeff Williams氏は「頑丈なソフトウェアマニフェスト(Rugged Software Manifesto)」を策定した。
-
Eugenio Pace氏へのアイデンティティ・フェデレーション、WIF、ADFS 2.0に関するインタビュー
Microsoftはクラウド事業を開始し、顧客は自分たちのアプリケーションを新しいプラットフォームに移行しようとしている。その中で、認証とアイデンティティ管理に取り組む必要がある。InfoQの編集者であるJon Arild Torresdalは、Patterns & Practicesチームのシニア・プログラム・マネージャであるEugenio Pace氏にインタビューを行い、最近、 Microsoftからリリースされたフェデレーションおよびアイデンティティ技術に関して話しを聞いた。
-
GoogleのJarlsbergをハッキングして、セキュリティ上の脆弱性について学ぶ
他のシステムをハックするというのがどういうことかを知りたい人々のために、GoogleはJarlsbergという特別なラボを作成した。JarlsbergにはセキュリティホールでいっぱいのWebアプリケーションが含まれており、どんなものが脆弱性を持つ可能性があるか、悪意のあるユーザがどうやってそれらを利用するか、そのような弱点をどのように抑えるかをハンズオン形式で学びたいと思っている開発者が、そのアプリケーションを攻撃することができる。
-
ビジュアルリスクマネジメント
プロジェクト規模に関係なく、リスクとその緩和戦略を把握できているとき、ステークホルダは心強く感じるものだ。アジャイルは情報発信器の利用を強く推進している。その情報発信器の考え方に基づき、アジャイリストはリスクのトラッキングと緩和を容易に行える様々なビジュアルなリスク表現法を考案した。
-
CWE/SANS プログラミングエラー トップ25
アメリカ国土安全保障省の後援のもと戦略的に行われた、共通脆弱性列挙(CWE)プロジェクトは 2010年版 CWE/SANS もっとも危険なプログラムエラートップ 25 を刊行した。これは、著者達の意見での、最悪のソフトウェア脆弱性を招く、トップ25のコードエラー一覧表である。
-
RESTサービスのセキュリティに対処する
RESTがSOAの実装として人気を得るにつれ、RESTサービスのセキュリティは日に日に重要になっている。この記事では、Chris Comerford氏とPete Soderling氏が、なぜRESTセキュリティが存在しないのか、どうやってRESTサービスをセキュアにするのかについて語る。
-
U-Proveは、プライバシを守りながらセキュリティを提供
ユーザについての個人情報を明かすことなく、認証を実行する暗号化ソリューション技術である、U-Prove CTPをMicrosoft は、オープンソースにした。このCTPは、U-Prove Cryptographic Specification V1.0、仕様の参照実装のC#版とJava版、そしてWIF、AD FS 2 と CardSpace 2の拡張版、更にテクノロジを説明するいくつかのホワイトペーパーを含んでいる。
-
ソフトウェアアプリケーションのセキュリティリスク TOP 10
ソフトウェアアプリケーションのセキュリティ評価・改善を目標とするオープン組織 OWASP が,OWASP Top 10 アプリケーションセキュリティリスク - 2010 RC1 をリリースした。この白書は Web アプリケーションのセキュリティリスクのトップ10と,そこから想定される脆弱性を攻撃者が利用する方法の詳細,さらにその防止策の例とアドバイスを文書化したものだ。
-
Adobe、長く続いたFlashのクラッシュバグに関して謝罪
dobe Flash PlayerプロダクトマネージャであるEmmy Huang氏は、ブラウザのクラッシュを引き起こすあるFlashのバグが17ヶ月も前に報告されているにも関わらず、Flash Playerの製品版に対するパッチがいまだにリリースされていないことを公に謝罪した。
-
Rails 3ベータがリリース
Rails 3の最初のベータ版がリリースされた。Rails 3では、APIの安定化と、Merbに着想を得たデザイン上の決定、パフォーマンス改善などにより、コードベースが大幅な書き換えられている。InfoQでは、Rails 3の変更や、Rubyのどの実装でRails 3が動作するのかを調査した。
-
Silverlight 4のCOM+ オートメーションはセキュリティと移植性に懸念がある
Silvelright 4は権限を昇格させたブラウザ外実行 (OOB) アプリケーションとして実行したときにCOM+ オートメーションをサポートする。マイクロソフトはこの機能を企業顧客の要求によるものだとして、SilverlightからOfficeオートメーションを利用する例を挙げた。
-
Googleが旧世代ブラウザのサポートを停止
Googleは、IE6やFirefox 2.x、Chrome 3、あるいはSafari 2といった旧式かつ安全性に劣るブラウザについて、2010年3月1日よりGoogleドキュメントおよびGoogleサイトを皮切りにサポートを停止すると発表した。
-
WindowsドメインからAmazon EC2へのシングルサインオン・アクセスのソリューション
Chappell & Associatesの代表であるDavid Chappell氏が、WindowsドメインからAmazon EC2にデプロイされたアプリケーションに対して、シングルサインオン(SSO)でアクセスするいくつかの解決策をまとめたホワイトペーパーを発表した。InfoQは、それぞれのソリューションを詳細に調べ、各々の利点とトレードオフを探った
-
HTML 5 sandbox 属性による iFrame セキュリティの向上
Web ハイパーテキスト・アプリケーション・テクノロジ・ワークショップ・グループ (WHATWG) は,W3C と共同で HTML 5 標準の開発作業を行っている。HTML 5 は WHATWG において,3ヶ月間に及ぶ "最終審査 (Last Call)" の段階にある。この期間中に重要な変更が行われた機能のひとつに iframe 要素の sandbox 属性がある。sandbox は信頼できないwebページのコンテントを,特定の操作の実行から隔離するために使用されるものだ。