Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2016年1月13日
本日(1/13)より、IEは最新版のみサポートされるように

本日(2016年1月13日)の Windows Update により、Internet Explorer のサポートは各 Windows の最新版にのみになります。 これは、Internet Explorer のサポートライフサイクルのポリシーの変更に伴うものです。最新バージョンでない Internet Explorer はサポート対象外となり、セキュリティパッチも提供されなくなります。 具体的に...
>>続きを読む

2015年12月29日
中国の反テロ法案が、IT企業に暗号鍵提供の要求を行う影響は非常に大きい

2015年12月27日、中国の全国人民代表大会常務委員会で反テロ法案が成立しました。 速報の段階ですが、少しその影響についてセキュリティ面から考えてみましょう。 この法案は、欧米企業が懸念していた法案で、以下のような内容になっています。 中国の全国人民代表大会(全人代、国会に相当)常務委員会は27日、暗号鍵などの敏感な情報を政府に渡すことをテクノロジー企業に義務付けるといった内容から欧米が懸念し...
>>続きを読む

2015年12月25日
「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」が OWASP に移管されていた

以前、トライコーダ社によって公開されていた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」が OWASP に移管されていました。もともとの文書を知らない方も多いかもしれませんね。 最新資料のダウンロードはトライコーダ社のページから行うことができます(PDF)。 発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ もともと、...
>>続きを読む

2015年12月22日
CakePHP 2.x, 3.x の最新版はメールヘッダインジェクション対策は不要

はじめに 現在、PHP を学習中で、フレームワークとして  CakePHP も学習しているのですが、CakePHP 2.2.0 の時にはメールヘッダインジェクションの脆弱性があると以下の書籍で読んで、ちょっと衝撃を受けているところです。自分でメールヘッダの改行コードを削除する必要があります。フレームワークが脆弱性を起きないようにする仕組みを持っていないということに驚きました。 ちなみに、以下の書籍...
>>続きを読む