タグ

securityとwebに関するkuronama2404のブックマーク (7)

  • IPAとJPCERT/CC、Webサイト改ざんに対する注意喚起

    情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は9月6日、Webサイト改ざんなどのインシデントの急激な増加を受け、Webサイトの運営者や管理者に対して改めて注意を呼びかけた。 JPCERT/CCによるとWebサイト改ざんの被害件数は2013年5月には505件だったが、2013年6月、7月はともに1000件を超え、急激に増加している。 両団体は昨今増加しているWebサイトへの攻撃の代表的な例として以下を挙げている。 Webサイトの管理端末への侵入によるWebサイト改ざん…Webサイト管理端末のOSやアプリケーションの脆弱性を狙ったウイルスを使って端末に侵入し、Webサイトの認証情報を窃取する パスワードリスト攻撃…事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いて不正ログインを試みる ソフトウェアの脆弱性を

    IPAとJPCERT/CC、Webサイト改ざんに対する注意喚起
  • ログアウト機能の目的と実現方法

    このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります

    ログアウト機能の目的と実現方法
  • 実はそんなに怖くないTRACEメソッド

    Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE

    実はそんなに怖くないTRACEメソッド
  • 10万円で使い勝手とセキュリティのアドバイスをしようと思います - ぼくはまちちゃん!

    こんにちはこんにちは!! 今日、友達の HolyGrail くんとカレーべてる時に、こんなことを言われました。 「自分がもし、はまちちゃんに何か依頼するとしたら、 自社のサービスをがっつり使い込んでもらって、色々なアドバイスしてもらったりとかかなー。 それで10万円とか、どうだろう?」 …なるほど!いいですね! もしかしたら、そういう需要ってあるのかも? 何日か前に「ふつうのformをつかいたい」っていうスライドを発表したけれど、 なんでここに書かれてあるようなことが、よくあるんだろうって思っていたし。 うーん。 例えば、UIデザイン。 企業では、デザイナーにだいたい全部おまかせすることって多いですよね。 でも多くのデザイナーって元々は「見た目の美しさ」についての勉強や仕事を、主にしてきた人達だと思うので、 彼らに「使い勝手の良さ」まで期待しても、どうしても専門外なことが多いように思う

    10万円で使い勝手とセキュリティのアドバイスをしようと思います - ぼくはまちちゃん!
    kuronama2404
    kuronama2404 2012/05/11
    カレータグ付けた。
  • Cyber Clean Center サイバークリーンセンター

    kuronama2404
    kuronama2404 2011/09/30
    総務省と経産省が運営してるだけあって、PCのセキュリティに対して専門知識の無い人にも分かりやすく作ってある。
  • Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan

    Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ

    Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
  • 【緊急】プロバイダニフティがプロバイダごとGENOウイルスに感染、会員とページアクセスした人全員終了

    1 : ジギタリス(東京都):2009/05/17(日) 17:05:19.06 ID:Xysr70T+ ?PLT(12010) ポイント特典 ソース http://pc11.2ch.net/test/read.cgi/sec/1240853183/ 対策と駆除はこちら http://www29.atwiki.jp/geno/pages/14.html Adobe Reader/Flashのアップデートをお忘れ無く http://www.adobe.com/jp/ 745 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:30:27 てかニフティで検索するのに ニフティ感染してるの???? 746 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:31:09 >>745 ( ゚Д゚) 何だと・・・? 748 名前:名無しさん@お腹いっぱい

  • 1