概要 Partytownというプロジェクトが先月発表された。このプロジェクト自体はWebのパフォーマンス向上(3rd Party Scriptによるブロッキングの低減)を主目的としているが、実質ブラウザにおけるJavaScript Sandboxの方向性に一石を投じるものであるとして自分は理解した。本稿ではこちらについて背景とともに解説を試みる。 WebブラウザにおけるJavaScript Sandbox JavaScriptで記述されたWebアプリケーションにおいて、たとえばプラグイン機構を実現したいなど、他Partyが提供あるいはユーザ自身が記述したスクリプトを、ホストとなるアプリケーションに影響を与えることなく実行することを許可したい、というケースはままある。2000年代に跋扈したブログパーツの類はWebコンテンツに対するプラグインの代表例とも言えるが、埋め込み先ページに対しての全権
SMBC信託銀行が外部クラウドサービスを利用して設置する口座開設の申込窓口より情報が流出した問題で、その後の調査で暗号化された暗証番号が平文で閲覧された可能性があることがわかった。 同行では、セールスフォース・ドットコムが提供するクラウドサービス「Salesforce」を利用し、口座開設の申込窓口を設置しているが、設定に不備があり、外部からアクセスを受けたことが2月に明らかとなった。 氏名、住所、電話番号、性別、生年月日、メールアドレス、勤務先のほか、暗号化されたデビット用暗証番号が参照された可能性があるとして3月8日に事態を公表している。 同発表を受けて、顧客よりデビット用の暗証番号が復号されるリスクについて問い合わせが寄せられており、同行があらためてセールスフォースに確認を取ったところ、暗号化されたデビット用暗証番号を、復号化された平文の状態で参照できるアクセス経路があることが明らかに
別システムのバックエンドとして間接的にSalesforceを使用しているケースもありますから、さらに影響は広範囲に及ぶかもしれません。 セールスフォース・ドットコムはこの事象を、以下のように説明しています。 この潜在的な問題は、コミュニティー、Salesforce サイト(旧Force.comサイト)、およびSite.comのサイト上に構築する公開サイト機能をご利用のお客さまにのみ発生する事象です。 これは、Salesforceプラットフォーム固有の脆弱性に起因するものではなく、お客さまのアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。 2021年2月12日現在、どのような経緯(けいい)で設定不備が発生したのか明らかではありませんが、新機能が追加された際のデフォルトの権限設定が問題だったのではないかとの推測があります。もしかすると、現実世界でもマンガのようなこと
セールスフォース・ドットコムの一部クラウドサービスを使う企業への不正アクセスが2020年末に相次ぎ判明したことを受け、大手金融機関が対応に追われている。金融庁はこの問題で注意喚起を出しており、金融機関はセールスフォース製品のアクセス権限が適切かなどの確認を急いでいる。セールスフォースのサービスを使う金融機関は銀行や生損保など多岐にわたっており、問題の収束までには時間がかかりそうだ。 金融庁は2020年12月17日付で注意喚起を出した。複数の条件が重なると、セールスフォースのクラウドで管理する情報を第三者がゲストユーザー権限で不正に閲覧できる状況になるという内容だ。金融庁は点検や対策を促すとともに、問題の条件を満たす金融機関などは速やかに財務局などに報告するよう指示した。 ある損害保険会社の関係者は「グループ会社を含めて確認作業を進めている最中だ」と明かす。一方、ゆうちょ銀行は「セールスフォ
Salesforce is sending mixed messages about mixed content. In response to Google's Chrome browser blocking what's known as "mixed content," Salesforce recommended that users either skip the latest upgrades or roll back to earlier versions of the browser. In a knowledge article posted to its website and sent to customers in a newsletter, Salesforce addressed the mixed content issue, which affects pr
関連キーワード Google Chrome | Salesforce.com(セールスフォースドットコム) | セキュリティリスク | Webセキュリティ Salesforce(salesforce.com)は「混合コンテンツ」(mixed content、「混在コンテンツ」とも)の問題に関する情報発信で迷走している。混合コンテンツとは、エンドユーザーとWebサーバ間の通信が「HTTPS」で暗号化されているWebサイトにおいて、平文の「HTTP」通信でやりとりされているコンテンツを指す。 GoogleのWebブラウザ「Chrome」が混合コンテンツをブロックすることで発生する問題を受け、Salesforceは「Chromeの最新アップデートの適用を見送るか、旧バージョンにロールバックすること」を推奨した。 併せて読みたいお薦め記事 Webブラウザのリスクとセキュリティ ChromeやFir
"enumerated.de" This domain is no longer available, because it was successfully registered by nicsell for a customer. It is not possible to contact the domain owner through us, as we are only the technical service provider. For information about the owner of this domain, please refer to the whois of the registry. However, if you are interested in other domains, you are welcome to register for free
上司「うち大丈夫なの?」Salesforce Experience Cloudアクセス権限とセキュリテイを説明してみた 2020年12月25日、Salesforce設定による不正アクセス問題。 SNSで多くのSalesforceアドミンや、コンサルタントの方々がセキュリティ対策を投稿されてます。 とはいえ「Salesforceアクセス権限の知識、正直自信がない」という方はすべての内容把握は難しく、年末最後の出社で上司に誤った報告をしてしまうかもしれません… 上司「え?取引先が公開になってるって???大事件じゃん!!」 投稿動機昨年2019年12月頃の私は、Salesforce知識がまったくなく、Trailheadでもくもく勉強してる人でした。 Salesforceの相談相手も少なく、SNSとTrailheadが頼りでした。 もしもそんな中、今回のニュースを見たら絶望したことでしょう。 「ち
12/25にリリースされた「楽天がSalesforceの設定ミスで、、」の件、コワイですね。世のSalesforceアドミンの方々は、週明けの上司に「あの件、うちのセキュリティは大丈夫なんだよね?確認して報告して!」と言われるケースもあるでしょう。 知識十分な方は「はーい、一応確認しておきますー」で大丈夫でしょう。この記事は、CRUDとかOWDとかよくわからないし、、ヘルプは難しいし、権限周りの設定はあまりしたことない、、、と、そんな方向けの対処法を記載しておきます。 Salesforceシステムは、管理者が意図的に外部ユーザに部分的にデータを共有して情報共有することができるようになっています。 自社の販売代理店に、関連する取引先や商談のデータだけ見せるとか、関連会社に、顧客からの問い合わせに関するやり取り履歴だけ見せるとか、不特定多数のユーザに、サービスの最新のお知らせを公開するとか。
Salesforceが発表した以下の件の攻撃手法等について、気になったので少し追ってみる。(なお、このブログの内容と以下の記事の内容が一致するかは定かではない点に注意) https://www.salesforce.com/jp/company/news-press/press-releases/2020/12/201225/ 概要 SalesforceのAuraエンドポイントを通じて、第三者が認証不要のゲストユーザ権限で、権限のあるデータへアクセス可能な問題がある。 この文だけ読めばまあ別に普通なのかもと思うかもしれないが、実は注意して設定しないと本来見えてはいけない情報も見えてしまう。 この注意して設定というのが肝で、途中で仕様が変わったり、デフォルト設定はONだったり、公式のアナウンスが不十分だったりという陥りやすいポイントがあるために、問題のある設定の状態で運用が行われ、情報漏えい
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 英国に拠点を置くサイバーセキュリティベンダーのSophosは現在、今週初めに発覚したセキュリティ上の不備について、電子メールで顧客に通知しているところだ。 米ZDNetが入手した、Sophosから顧客に宛てられた電子メールには「Sophosのサポート部門(Sophos Support)に連絡を取った顧客に関する情報を保存するために使用しているツールのアクセス権限に問題があるという報告を2020年11月24日に受け取った」と記されている。 誤って公開されていた情報には、顧客の氏名や電子メールアドレスのほか、電話番号(顧客が提供していた場合)が含まれている。 Sophosの広報担当者は現地時間11月26日にこの電子メールの内容を認め、米ZD
2020年12月25日、セールスフォースドットコムは一部製品、または機能を利用するユーザーにおいて、Salesforce上の組織の一部情報が第三者より閲覧できる事象が発生していると案内を掲載しました。また、12月に入り外部への情報流出の可能性を発表した楽天、PayPayがこの影響を受けたユーザーに含まれていたことが報じられています。ここでは関連する情報をまとめます。 設定不備で第三者からの情報閲覧事象が発生 www.salesforce.com セールスフォースドットコムが公開したリリースをまとめると以下の通り。 影響を受ける対象機能、製品はExperience Cloud(旧 Community Cloud)、Salesforceサイト、Site.com。 既に当該機能、製品利用組織において第三者による閲覧行為が発生している。 脆弱性起因の問題で生じた事象ではなく、ゲストユーザーに対する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
