私たちの調査では、ゼロトラストを積極的に導入している組織は、オンプレミスとクラウドに展開されたゼロトラスト ソリューション間の統合に関する課題に、依然として直面していることがわかりました。 レポートをダウンロード
私たちの調査では、ゼロトラストを積極的に導入している組織は、オンプレミスとクラウドに展開されたゼロトラスト ソリューション間の統合に関する課題に、依然として直面していることがわかりました。 レポートをダウンロード
Automated configuration analysis for Mozilla's TLS guidelines Last week, we updated Mozilla's Server Side TLS guidelines to add a third recommended configurations. Each configuration maps to a target compatibility level: Old supports Windows XP pre-SP2 with IE6 and IE7. Those clients do not support AES ciphers, and for them we need to maintain a configuration that accepts 3DES, SSLv3 and SHA-1 cer
The ordering of cipher suites in the Old configuration is very important, as it determines the priority with which algorithms are selected. OpenSSL will ignore cipher suites it doesn't understand, so always use the full set of cipher suites below, in their recommended order. The use of the Old configuration with modern versions of OpenSSL may require custom builds with support for deprecated ciphe
はじめにシンボリック実行(symbolic execution)という用語をセキュリティ系の論文でよく見かけるようになった.ここでは,シンボリック実行の基礎となる理論を辿る.筆者はソフトウェアテストの研究には疎く,おそらく本稿には若干以上の誤謬と誤解が含まれているだろう.ぜひ識者の教示を乞いたい. 発祥シンボリック実行は主にソフトウェアテストの領域で古くから研究されてきたトピックである.シンボリック実行という用語の初出は遡ること38年前,James C. KingらによるSymbolic Execution and Program Testing [PDF]という論文だ.Dijkstraがgoto文の濫用による大域脱出を批判したのが1968年であり,Guarded Command Languageを提案したのが1975年のことである.この論文が発表された1976年当時はまさに構造化プログラ
「セキュリティ技術がどれほど効果的であっても、使いやすく分かりやすいものにしない限りは使ってもらえない」という考えから、新組織「Simply Secure」を設立した。 米DropboxやGoogleが参加して9月18日、一般ユーザーにも使いやすいオープンセキュリティツールの開発を目指す組織「Simply Secure」の創設を発表した。 設立の背景として同組織は、現在のコンシューマー向けセキュリティツールは平均的なユーザーにとっては不便だったり分かりにくかったりして採用が進まないと指摘する。2段階認証なども多くのオンラインサービスで提供されているが、あまり普及していないのが現状だという。 そこで「セキュリティ技術がどれほど効果的であっても、使いやすく分かりやすいものにしない限りは使ってもらえない」という考えから、オープンソースコミュニティと連携して、高度な知識がないユーザーにも使いやすく
表を見ていただければわかる通り、Microsoft WindowsのSHA1移行ポリシに比べて、Chromeはかなりアグレッシブな設定になっており、開発版は2014年9月26日のアップデートから、安定版は2014年11月頃リリースの39から正常なHTTPS接続でないかのようなステータス表示となってしまいます。 今回のChromeのSHA1対応ポリシの問題点 今回のGoogle ChromeのSHA1証明書に対する対応計画は様々な問題があると考えていて、論点を整理したいと思います。 最も重要だと思うのが、ブラウザ毎にHTTPSのエラーや問題に対する表示の意味が異なってしまうという点です。今回のSHA1証明書の表示の計画がブラウザベンダー毎に異なるのはユーザが混乱することになり、良くなかったと思います。本来ならCA Browser ForumのBaseline Profileなどで、業界で意思
「ワンタイムパスワード」破る…送金先口座凍結 : IT&メディア : 読売新聞(YOMIURI ONLINE) http://www.yomiuri.co.jp/it/20140916-OYT1T50063.htm ログインしただけで不正送金 新型ウイルス国内で検出 - 朝日新聞デジタル http://www.asahi.com/articles/ASG9J3Q7VG9JULFA00F.html 時事ドットコム:大手銀の52口座凍結=ネットバンク不正送金で-警視庁 http://www.jiji.com/jc/zc?k=201409/2014091600744&g=soc ネットバンキング不正送金、52口座凍結 新種ウイルス解析・警視庁 - MSN産経ニュース http://sankei.jp.msn.com/affairs/news/140916/crm14091622270013-n1
RickDOM - ricking DOM elements safety from string https://github.com/hasegawayosuke/rickdom ブラウザ内のDOMParserあるいはcreatHTMLDocument APIを使って不活性なDOMを組み立てたのちに、必要な要素と属性、スタイルだけを切り出して複製しているので、原理的にDOM based XSSの発生を抑えることができます。 使いかたも簡単。 var rickdom = new RickDOM(); var container = document.getElementById( "container" ); var elements; var i; // read allowings property to show default rule // div.textContent =
The seL4® Microkernel Security is no excuse for bad performance The benchmark for performance. The world's most highly assured OS kernel. Open source & community-supported under the seL4 Foundation. 08 Nov 2024: The videos and slides of the seL4 summit 2024 are available online 11 Oct 2024: seL4 summit 2024 Anniversary Panel Session 02 Oct 2024: Welcome NIO, Silver sponsor of the seL4 Summit 2024
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます センサーやコネクテッドインフラストラクチャを含むモノのインターネット(IoT)端末の70%に、悪用につながり得る脆弱性が存在すると、Hewlett-Packard(HP)が指摘する。 HPのFortify部門が、最も普及しているIoT端末10種(テレビ、ウェブカメラ、サーモスタット、リモート電源管理ユニット、スプリンクラー制御装置、ドアロック、住宅用警報機、ガレージ開閉機など)を調査した結果、1端末あたり平均25の脆弱性があることが分かった。 レポートで明かされた論点は以下の通り。 クラウドアプリやモバイルアプリを含む端末の80%が、堅牢なパスワードを要求しない。 端末の8割が、プライバシー上問題があるというに足るだけの情報を収集してい
プリンストン大学とルーヴェン・カトリック大学の研究者がまとめた論文「The Web never forgets: Persistent tracking mechanisms in the wild」によると、Canvas Fingerprinting技術を使ったオンライントラッキングツールがAlexaトップサイトに浸透している。同ツールが使われていると、ブラウザユーザーが追跡をブロックするのが非常に難しくなる。 モダンブラウザがサポートするCanvas APIを通じてレンダリングされたイメージには端末ごとのわずかな違いが生じる。これをデバイスの指紋のように用いるテクニックを2012年にカリフォルニア大学サンディエゴ校の研究者が発表し、Canvas Fingerprinting(Canvasの指紋採取)と呼んだ。同技術を採用したオンライントラッキングツールは、ユーザーには見えないテキストを
IPAでは「情報セキュリティ白書」を毎年発行しています。企業のシステム開発者・運用者を対象に情報セキュリティの現状や、今後の対策のために役立つ情報を提供するとともに、パソコンやスマートフォン等の情報機器を使用する一般の利用者に対しても情報セキュリティの概観や身近な話題をわかりやすく提供することを目指しています。 2013年度には、水飲み場型攻撃(*1)でウイルスに感染したパソコンからの情報流出、インターネットバンキングにおける不正送金被害の拡大(*2)、パスワードリスト攻撃による不正アクセスの多発等、インターネット利用者を狙う様々な脅威と被害が確認されました。 これらの状況を考慮し「情報セキュリティ白書2014」では、頻発する脅威および将来の脅威を見据えた下記の新たなトピックを加えています。その他、従来どおり情報セキュリティインシデントの具体的な事例や攻撃の手口、対策、国内外で進められてい
What is Haka Haka is an open source security oriented language which allows to describe protocols and apply security policies on (live) captured traffic. The scope of Haka language is twofold. First of all, it allows to write security rules in order to filter/alter/drop unwanted packets and log and report malicious activities. Second, Haka features a grammar enabling to specify network protocols a
Unix系OSの権限分離の変遷について(もしくはなぜ、アプリ単位の権限分離が求められるようになったか) [ブコメした件について。大筋でおかしなことは書いてないと思いますが、出典は確認していません] Unix系OSにおける権限分離は、伝統的に、利用者ごとに異なるuser idを割り振り、これを用いてアクセス制御を行うという方式で実現されてきた。また、デーモンプロセスについては、不要な権限付与を避け、デーモンプロセス間の相互作用を抑制するために、デーモンごとに専用の「user id」を発番するのが一般的な慣習とされるようになったという経緯がある。 しかし、2000年代に入ると、インターネットの普及とあいまって、クライアントサイドではこのような「利用者ごと」の権限分離では不十分という考え方がされるようになってきた。具体的には、 (オンラインバンクのパスワードに代表されるような)攻撃価値が高い情報
マイクロアドはデータとテクノロジーをかけ合わせたマーケティングプラットフォームを提供する会社です。「Redesigning the Future Life」という想いを掲げ、広告やコミュニケーションだけではなく、人々の未来の暮らしそのものを再デザインしてまいります。
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 さる6月5日、神戸大学で開かれた電子通信情報学会(IEICE)の情報通信システムセキュリティ研究会での招待講演の資料を公開します。 内容の危険性を考慮し、招待講演は予稿無しとさせて頂き資料も公開しないつもりでした。 しかし、2月に我々が問題に気づいてからはや4ヶ月、JPRS が CO.JP などゾーンが JP から分離していない SLD に署名された TXT レコードを入れてから 3ヶ月、JPRS が背景不明な注意喚起を出してから 2ヶ月がたちました。そして先週あたりから JPRS はその理由を説明しないまま JP と DNS.JP の NS の分離を行いつつあります
Copyright © 2014 株式会社日本レジストリサービス 1 キャッシュポイズニング攻撃対策: キャッシュDNSサーバー運用者向け―基本対策編 初版作成:2014年4月30日 最終更新:2014年4月30日 株式会社日本レジストリサービス(JPRS) 本資料の位置づけ • 本資料は以下の四部構成の資料の一部 – 対象者ごとに、キャッシュDNSサーバー運用者向けと 権威DNSサーバー運用者向けに大別 – それぞれを、基本対策編と応用対策編の二部で構成 Copyright © 2014 株式会社日本レジストリサービス 2 基本対策編(本資料) 応用対策編 基本対策編 応用対策編 キャッシュDNSサーバー運用者向け 権威DNSサーバー運用者向け 本資料の内容(基本対策編) • 本資料ではキャッシュDNSサーバー運用者向け の基本対策編として、以下の項目について解説 – おさらい(1):キ
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
