InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
CWE/SANS プログラミングエラー トップ25
アメリカ国土安全保障省の後援のもと戦略的に行われた、共通脆弱性列挙(CWE)プロジェクトは 2010年版 CWE/SANS もっとも危険なプログラムエラートップ 25 を刊行した。これは、著者達の意見での、最悪のソフトウェア脆弱性を招く、トップ25のコードエラー一覧表である。
-
RESTサービスのセキュリティに対処する
RESTがSOAの実装として人気を得るにつれ、RESTサービスのセキュリティは日に日に重要になっている。この記事では、Chris Comerford氏とPete Soderling氏が、なぜRESTセキュリティが存在しないのか、どうやってRESTサービスをセキュアにするのかについて語る。
-
U-Proveは、プライバシを守りながらセキュリティを提供
ユーザについての個人情報を明かすことなく、認証を実行する暗号化ソリューション技術である、U-Prove CTPをMicrosoft は、オープンソースにした。このCTPは、U-Prove Cryptographic Specification V1.0、仕様の参照実装のC#版とJava版、そしてWIF、AD FS 2 と CardSpace 2の拡張版、更にテクノロジを説明するいくつかのホワイトペーパーを含んでいる。
-
ソフトウェアアプリケーションのセキュリティリスク TOP 10
ソフトウェアアプリケーションのセキュリティ評価・改善を目標とするオープン組織 OWASP が,OWASP Top 10 アプリケーションセキュリティリスク - 2010 RC1 をリリースした。この白書は Web アプリケーションのセキュリティリスクのトップ10と,そこから想定される脆弱性を攻撃者が利用する方法の詳細,さらにその防止策の例とアドバイスを文書化したものだ。
-
Adobe、長く続いたFlashのクラッシュバグに関して謝罪
dobe Flash PlayerプロダクトマネージャであるEmmy Huang氏は、ブラウザのクラッシュを引き起こすあるFlashのバグが17ヶ月も前に報告されているにも関わらず、Flash Playerの製品版に対するパッチがいまだにリリースされていないことを公に謝罪した。
-
Rails 3ベータがリリース
Rails 3の最初のベータ版がリリースされた。Rails 3では、APIの安定化と、Merbに着想を得たデザイン上の決定、パフォーマンス改善などにより、コードベースが大幅な書き換えられている。InfoQでは、Rails 3の変更や、Rubyのどの実装でRails 3が動作するのかを調査した。
-
Silverlight 4のCOM+ オートメーションはセキュリティと移植性に懸念がある
Silvelright 4は権限を昇格させたブラウザ外実行 (OOB) アプリケーションとして実行したときにCOM+ オートメーションをサポートする。マイクロソフトはこの機能を企業顧客の要求によるものだとして、SilverlightからOfficeオートメーションを利用する例を挙げた。
-
Googleが旧世代ブラウザのサポートを停止
Googleは、IE6やFirefox 2.x、Chrome 3、あるいはSafari 2といった旧式かつ安全性に劣るブラウザについて、2010年3月1日よりGoogleドキュメントおよびGoogleサイトを皮切りにサポートを停止すると発表した。
-
WindowsドメインからAmazon EC2へのシングルサインオン・アクセスのソリューション
Chappell & Associatesの代表であるDavid Chappell氏が、WindowsドメインからAmazon EC2にデプロイされたアプリケーションに対して、シングルサインオン(SSO)でアクセスするいくつかの解決策をまとめたホワイトペーパーを発表した。InfoQは、それぞれのソリューションを詳細に調べ、各々の利点とトレードオフを探った
-
HTML 5 sandbox 属性による iFrame セキュリティの向上
Web ハイパーテキスト・アプリケーション・テクノロジ・ワークショップ・グループ (WHATWG) は,W3C と共同で HTML 5 標準の開発作業を行っている。HTML 5 は WHATWG において,3ヶ月間に及ぶ "最終審査 (Last Call)" の段階にある。この期間中に重要な変更が行われた機能のひとつに iframe 要素の sandbox 属性がある。sandbox は信頼できないwebページのコンテントを,特定の操作の実行から隔離するために使用されるものだ。
-
Code Access Securityは、.NET 4 Beta 2では、もう使用されない
.NET Framework 1.0から、Microsoftは、Code Access Security (CAS)を、マネージコードの能力を割り当てたり、コントロールする手段として導入した。Framework 4.0 Beta 2では、CASを非推奨にして、既定ではオフにする、そしてSecurity Transparency Level 2を導入する。
-
RESTful API の 認証の枠組
George Reese氏は“カスタムの認証プロトコルが必要だとは誰もが感じている。”と言う。この主張は、彼がクラウド事業者やSaasベンダのプログラミングAPIを使って仕事をしたことから学んだことのひとつだ。この記事で氏はすべてのREST認証が必要とする基準を提案している。
-
Windows Azureにおけるデータセキュリティのためのアドバイス
Windows Azureでの暗号化サービスとデータのセキュリティという最近のMSDNの記事で、Jonathan Wiggs氏がWindows Azureでセキュアなデータの保存や処理についてアドバイスしている。InfoQでは、アプリケーションをクラウドに配置することによる、セキュリティ上のいくつかの悪影響を理解するため、このトピックについてより詳細に調査した。
-
リーン+リアルオプション=複雑さとリスクの低減
リアルオプションとは、金融オプション数学に基づく意思決定プロセスである。これは通称「白本」とよばれるExtreme Progamming Explainedにおいて、Kent Beck氏が1999年に言及しているものだ。近年ではアジャイル主義者たちがリアルオプションがアジャイルとどのように交わるのかについて調査してきた。現在はChris Matts氏とOlav Maasson氏が、特にリーンソフトウェアコミュニティに対して発言している。リアルオプションを採用することでリーン開発が改善するというのだ。
-
より優れたクラウドセキュリティへ向けての一歩: 検索可能な暗号化
Cryptographic Cloud Storage という題名のホワイトペーパにおいて、Microsoft Resarch Cryptography Group の Seny Kamara 氏と Kristin Lauter 氏は、新しい暗号化技術を使用するパブリッククラウドにより提供される"仮想プライベートストレージサービス"を提案している。