IPA「脆弱性届出制度に関する説明会」が開催されました。 そこで、この制度の利用者(?)の方から、いろいろな感想が「つぶやかれています」。この点については、「脆弱性届け出制度に関する説明会のつぶやきまとめ」でまとめられています。 私(高橋郁夫)個人としては、いわゆる「中の人」になりますので、具体的なこの制度の変更にいたった議論の経緯その他についてコメントすることは避けます。 ただし、この制度について、常にウワォッチし、あるべき制度を考えていた一法律家としてのコメントをさせていただければ、以下のとおりになるかと思います。 まずは、この制度が構築されたのが、2002-2003年の時期であったということは、さけて通ることができないと思います。その当時までに、時計を巻き戻してみましょう。 研究者・実務家の方が、脆弱性を見つけた、それを企業に対して、これ、脆弱性になるから直したらいいんじゃないの?と
タグ
- すべて
- 1.9 (8)
- 2ch (7)
- 765as (28)
- 7pay (15)
- accessibility (134)
- activerecord (6)
- ad (46)
- adobe (8)
- adsense (6)
- agile (26)
- ai (130)
- air (6)
- ajax (18)
- akiba (5)
- alexa (8)
- algorithm (8)
- alma (32)
- alps (5)
- amazon (90)
- amp (6)
- analytics (118)
- android (152)
- angularjs (8)
- anime (181)
- ansible (20)
- antivirus (8)
- apache (11)
- api (98)
- app (10)
- apple (51)
- apt (14)
- ar (6)
- art (15)
- arton (5)
- asus (5)
- async (21)
- atompub (5)
- attribution (6)
- audio (31)
- auth (16)
- autopagerize (5)
- avtokyo (6)
- aws (47)
- backdoor (6)
- backup (12)
- baidu (7)
- bank (12)
- bash (13)
- bgp (7)
- bicycle (10)
- bigdata (7)
- bike (40)
- bitcoin (11)
- blackhat (9)
- blackhole (8)
- blockchain (11)
- blog (56)
- bluetooth (24)
- book (93)
- bookmark (6)
- bookmarklet (8)
- bootstrap (11)
- bot (16)
- botnet (8)
- brain (5)
- browser (32)
- bundler (6)
- business (8)
- button (5)
- c# (9)
- cache (15)
- calendar (10)
- camera (28)
- captcha (6)
- car (29)
- cat (150)
- cdn (8)
- cgi (7)
- cgm (5)
- chart (6)
- chat (16)
- china (29)
- chrome (49)
- chromebook (9)
- ci (19)
- cinderellagirls (210)
- circleci (6)
- cloud (35)
- cloudflare (12)
- cms (9)
- codeblue (5)
- coffeescript (6)
- coincheck (9)
- coinhive (20)
- colinux (6)
- color (8)
- comics (84)
- comment (24)
- community (10)
- computer (5)
- container (7)
- cookie (21)
- cookpad (13)
- copilot (10)
- copyright (102)
- covid19 (12)
- crypt (16)
- csp (5)
- csrf (10)
- css (96)
- ctf (35)
- cub (12)
- cyberwar (6)
- cybozu (8)
- dankogai (5)
- data (6)
- dbms (8)
- debian (23)
- debug (7)
- deeplearning (22)
- defcon (7)
- deferred (5)
- design (64)
- desire (9)
- desktop (15)
- development (70)
- devops (5)
- diary (1531)
- diff (5)
- digitalocean (5)
- dns (43)
- docker (81)
- docomo (11)
- document (7)
- domain (8)
- dora (47)
- drm (32)
- drone (5)
- dropbox (19)
- earphone (15)
- ebook (330)
- editor (6)
- education (30)
- electron (7)
- emobile (5)
- emotet (5)
- engeneer (21)
- english (29)
- epub (29)
- es6 (11)
- etc (7)
- event (132)
- evernote (15)
- excel (7)
- facebook (86)
- fashion (6)
- feed (18)
- ffmpeg (6)
- fireeye (5)
- firefox (28)
- flash (12)
- flickr (5)
- flux (5)
- flv (5)
- font (48)
- food (130)
- football (184)
- form (8)
- framework (6)
- free (32)
- freee (50)
- frontale (177)
- fuchu (6)
- fujitsu (12)
- fuzzing (7)
- game (90)
- gardening (37)
- gas (10)
- gcp (5)
- gem (16)
- geneticalgorithm (7)
- git (111)
- github (105)
- gitlab (14)
- glass (20)
- gmail (29)
- gnu (10)
- gom (5)
- google (384)
- google+ (8)
- gpl (19)
- gps (6)
- gpt (21)
- gracoro (63)
- graph (8)
- graphql (5)
- greasemonkey (6)
- great (12)
- gtd (7)
- gustav (60)
- hatena (60)
- hayabusa (39)
- hayabusa2 (13)
- headphone (15)
- health (11)
- heroku (59)
- hijitsuzai (6)
- history (11)
- home (9)
- honda (6)
- html (22)
- html5 (55)
- http (36)
- http2 (14)
- http3 (7)
- https (29)
- ibm (5)
- icon (13)
- idol (15)
- idolm@ster (1099)
- ie (14)
- ifttt (12)
- iij (15)
- image (20)
- imagemagick (12)
- ime (11)
- intel (9)
- internet (31)
- ios (7)
- iot (45)
- ipa (7)
- ipad (10)
- iphone (86)
- ipod (64)
- ipv6 (8)
- ishioka (11)
- itunes (9)
- jailbreak (12)
- japanese (5)
- java (15)
- javascript (226)
- jaxa (24)
- jenkins (6)
- joke (5)
- jquery (74)
- json (17)
- k-tai (35)
- kaguya (10)
- kancolle (12)
- kashima (5)
- kddi (12)
- keyboard (23)
- kindle (92)
- knit (11)
- kobo (7)
- korea (9)
- kubernetes (7)
- kvs (5)
- kyash (13)
- lambda (8)
- language (52)
- law (41)
- ldr (17)
- lefty (13)
- lego (11)
- lenovo (5)
- letsencrypt (6)
- license (22)
- life (5)
- line (15)
- linux (49)
- livedoor (17)
- localstorage (5)
- log (8)
- lovelive! (5)
- lpo (8)
- mac (11)
- machinelearning (173)
- mail (25)
- malware (14)
- management (14)
- map (13)
- maps (23)
- markdown (8)
- marketing (36)
- massr (12)
- mastodon (43)
- masui (8)
- matz (10)
- medical (65)
- miau (6)
- microservices (5)
- microsoft (71)
- millionlive (149)
- mirai (5)
- misasa (15)
- mixi (24)
- mizusawa (5)
- mobile (28)
- money (9)
- mongodb (34)
- mongoid (5)
- monitor (10)
- moon (7)
- motorcycle (32)
- mouse (17)
- movie (144)
- mp3 (5)
- mruby (7)
- music (79)
- mynumber (5)
- mysql (7)
- navi (12)
- nenkin (6)
- nhk (8)
- nicovideo (137)
- nifty (5)
- nintendo (6)
- nobeyama (28)
- node.js (18)
- nofollow (6)
- northkorea (5)
- npm (9)
- nsa (12)
- ntp (6)
- ntt (6)
- oauth (21)
- ogp (6)
- okinawa (8)
- okr (5)
- olympic (9)
- omniauth (5)
- onboard (11)
- oop (8)
- opencv (5)
- openid (29)
- opensocial (9)
- openssl (10)
- oreilly (7)
- oss (156)
- ossgate (55)
- owasp (13)
- p2p (7)
- paas (9)
- pagerank (7)
- palm (17)
- parabola (285)
- parkes (5)
- password (87)
- patent (10)
- pattern (7)
- pc (17)
- pda (6)
- pdf (23)
- perl (8)
- persona (17)
- phishing (12)
- photo (14)
- php (18)
- pixiv (10)
- plugin (33)
- pokemongo (23)
- politics (12)
- ppap (7)
- pragger (5)
- presentation (31)
- privacy (55)
- programmer (29)
- programming (92)
- promise (6)
- proxy (16)
- puppet (13)
- pwa (5)
- python (17)
- qrcode (7)
- r1200gs (28)
- rack (16)
- rails (38)
- rakuten (5)
- ransomware (6)
- raspberrypi (6)
- rat (6)
- rbenv (6)
- reactjs (45)
- redteam (11)
- redux (8)
- referer (6)
- regexp (8)
- rest (26)
- review (8)
- robot (25)
- rocket (9)
- router (5)
- rspec (30)
- rss (14)
- rtm (9)
- ruby (406)
- rubykaigi (33)
- rust (12)
- rwd (14)
- sakura (13)
- sandbox (5)
- sbm (6)
- science (57)
- search (40)
- security (1560)
- sem (12)
- seo (151)
- server (6)
- serverless (10)
- service (9)
- sf (62)
- shell (7)
- shinycolors (38)
- sidem (7)
- sinatra (33)
- slack (24)
- sleipnir (7)
- smartphone (51)
- smtp (5)
- sns (27)
- socialmedia (29)
- socialweb (7)
- softbank (5)
- sony (18)
- space (57)
- spam (26)
- spe (5)
- sql (8)
- sqlinjection (9)
- ssa2014 (26)
- ssh (26)
- ssl (19)
- ssrf (6)
- star (9)
- streetview (42)
- struts (6)
- sudo (5)
- svg (5)
- svn (10)
- tDiary (216)
- takuhai-tracker (10)
- tdd (31)
- test (35)
- theme (6)
- touch (61)
- touring (13)
- toyota (5)
- trackback (5)
- travel (58)
- travisci (6)
- trendmicro (6)
- tsukuba (14)
- tumblr (6)
- tv (11)
- twitter (125)
- ubuntu (6)
- uchinoura (8)
- ui (28)
- umedamochio (7)
- unicode (12)
- url (8)
- usability (78)
- usb (13)
- usuda (32)
- utf-8 (5)
- ux (11)
- vagrant (25)
- video (7)
- vim (39)
- virtualbox (11)
- virus (7)
- vista (5)
- visualization (8)
- vmware (6)
- vocaloid (22)
- vpn (6)
- vps (9)
- vr (12)
- vscode (25)
- vtuber (10)
- vuejs (7)
- w-zero3 (10)
- waf (6)
- waifu2x (7)
- wakayama (8)
- wallpaper (8)
- wannacry (6)
- wasamas (7)
- wassr (6)
- web (49)
- webkit (7)
- webpack (8)
- websocket (6)
- wfh (52)
- wifi (18)
- wiki (23)
- wikipedia (8)
- windows (83)
- windows10 (34)
- windows8 (16)
- windowsmobile (6)
- work-life (7)
- wsl (18)
- xperia (15)
- xss (36)
- yahoo! (48)
- yamadataro (12)
- yamaguchi (17)
- youtube (12)
- zsh (15)
- 車載動画 (10)
- security (1560)
- diary (1531)
- idolm@ster (1099)
- ruby (406)
- google (384)
- ebook (330)
- parabola (285)
- javascript (226)
- tDiary (216)
- cinderellagirls (210)
ipaに関するshoのブックマーク (7)
-
sho 2017/10/24
何と戦ってるのかよくわからない文章。参加者の不満に応えたものではなさそう。- security
- ipa
リンク -
-
-
-
-
IPAに受理されない脆弱性 - kusano-k’s blog
IPAは脆弱性関連情報を受け付けて、(JPCERT/CCに通知してJPCERT/CCが)製品開発者に連絡するという仕事をしている(噂によると専任の人がいるわけではないらしい)。どういう問題が脆弱性として受理されるかはIPAが公開している脆弱性の一覧を見ればわかるけど、どういう問題が受理されないかは公開されないので、私が報告して受理されなかった問題をまとめてみた。脆弱性ではない問題が報告されてIPAの手間を増やすリスクより、脆弱性が報告されないリスクのほうが高いだろうから、迷ったら報告するべきだとは思う。ちなみに、脆弱性ではないということで受理されなくても、望ましくない実装なら開発者に通知してくれる。 IPAの脆弱性の定義は、 脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキ
-
IPAから「クリックジャッキング」に関するレポート出ました
Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては従来詳しい解説がありませんでしたが、この3月26日にIPAから「クリックジャッキング」に関するレポートが公開されました。 このレポートから、クリックジャッキングのイメージを示す図4を引用します。 サイトAが攻撃対象のサイト、悪意のあるページは罠にな
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
処理を実行中です
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
設定を変更しましたx