Pitney BowesのDNS/DHCPを利用したアクセス制御システム。製品はInfoblox, BigFix, Endforce。
独自のデザインでNAC構築。
Pitney Bowes’ advanced security system reaps returns - Network World
2006年7月 Archives
連れ合いのPCが立ち上がらなくなった。
IDEプライマリマスターのエラーです
えー、こんなの前から出てたよ。って、エラーが出たら言ってって言ってるでしょ!
CD-ROMで立ち上げてもパーティションが見えず。ディスク自体が認識されてない。
とりあえず、 以前のうーるさんの助言に従い、PCごと冷蔵庫に放り込んでみた。後はまた明日。
かっこいい。
asahi.com:80歳の「クロコダイル・レディー」、強盗を撃退 - 文化芸能
驚く強盗の腹部に刃渡り約36センチの肉切り包丁を突きつけ「そんなのはナイフとは言わない。これをナイフと言うのよ」と言い放った。
Apereより、Identity Managed Access Gateway。アクセス制御ゲートウェイ。 OrackeとSiebelに対応。 権限チェックを行い、600Mbps。
ネイティブにAD、LDAP、Samba、ODBC/JDBC、CSV。各種App向けにConnector Factory。導入時は自動学習でIDサーバを認識する由。
Start-up targets network access - Network World
OWASPの安全なWebアプリケーション~ガイドにAjaxの章が追加された、ということで、インタビュー記事。
New chapter and verse on Ajax security
the Open Web Application Security Project (OWASP) is updating its Guide to Building Secure Web Applications to include a separate chapter on Ajax.
インタビューされているAndrew van der Stockさんは、オーストラリアのWebアプリケーション研究家の由。
Ajaxによる追加リスク
(1) 露出面が多い
(2) クライアント側の処理が多い - 脆弱、悪意
(3) コード挿入の手法が多い
(4) バックグラウンドでの( "asynchronous" )実行で気付きにくい、 session hijacking attacks (cross-site request forgery)
(5) data mashupsによるプライバシー侵外
認証、検証、業務ロジックはサーバに残すべき。
3層モデルを勧める。SOA層の前にweb app server、認証や検証をー元的に実施。
この記事で言及されているOWASP Guideをチェックしてみたら、現在3.0編集中。
http://www.owasp.org/index.php/OWASP_Guide_Project
V2でWebサービスも加わり、今回Ajaxも加わって、計310ページになってる。
これはなかなか読めないな。
Ajaxの章10 Ajax and other “rich” interface technologiesは16ページ。
データベース情報を狙うSQLインジェクション攻撃が急増──有力MSSPが警告 : セキュリティ - Computerworld.jp
セキュアワークスによると、同社の顧客(金融機関や公益企業を含む約1,300社)が所有するデータベースに対する攻撃は、今年1~3月の段階では1日当たり平均100~200件程度にすぎなかったが、最近になって1日当たり8,000件近くに急増しているという。同社は侵入検知や電子メールのウイルス/スパム・フィルタリングなどのマネージド・セキュリティ・サービスを提供している。
セキュアワークスのCTO(最高技術責任者)ジョン・ラムジー氏は、検知した攻撃はロシアや中国、ブラジル、ハンガリー、韓国のコンピュータから行われており、「SQLインジェクション(注入)」と呼ばれる手法を利用していると説明する。
…
「もはや、ワームの時代ではない。1つの組織を標的にして、特別に製造されたゼロデイ・エクスプロイトの時代に突入している」と、ラムジー氏は警鐘を鳴らす。
最近になって、各種のデータ漏洩・データ侵害事件が広く報じられるようになり、企業は自社のデータベースにどのような安全対策が講じられているかについて、より厳しい目を向けるようになってきている。
ビザ・インターナショナルとマスターカード・インターナショナルは、クレジッドカードを利用する販売業者が、SQLインジェクションのような攻撃への防御を強化するよう、データ・セキュリティ基準の変更作業に取り組んでいる。
Continue reading SQLインジェクションが急増 - 半年前の数十倍.
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう - @IT
クリップボード監視やキーロガーを解説。
セキュリティ対策状況としては、SSLとクロスドメインの制限について言及してある。
Oracleが四半期ごとのセキュリティ修正プログラムCritical Patch Updateで65種類の修正を公開した。
Oracle has 65 fixes in latest security update - Network World
脆弱性のほとんどはOracleデータベースが使う独自のネットワーク・プロトコルであるOracle Netに関係している。このプロトコルは過去数年の間に多くの関心を集めるようになってきた、とImpervaのCTO Amichai Shulmanはいう。
「今まで誰もこういう使い方を調べていなかったが、いったんこういう曖昧なプロトコルを見始めると、すぐにたくさんの脆弱性がみつかる。」
彼によると、「ネットワークの脆弱性は得てして一番危険だ。データベースのアカウントを何も持って無くても悪用できてしまう。」
Oracleの次のCPUは10/17の予定。
DNSサーバーが外部からの再帰的な問い合わせを受け付けないようにすることや、ネットワーク管理者に対して送信元IPアドレスを偽装したパケットを外部に送信しないよう求めている
クレジットカード情報取扱いのPCI規制の認定状況と規制強化。
大規模店舗の内PCIに準拠したのは22%のみ。
Gartner - データ保護でDB内を暗号化すると 100,000件で1件当り$6かかる。
145,000 customer accounts to an illegitimate source, data broker ChoicePointの費用は1件$90。
罰金を含めてこれから規制強化される。まずは磁気ストライプ内情報の残存から。
罰金は最大$500,000.-
Retailers fail to pass security test - Network World
Googleサイトに存在したXSS脆弱性の説明。もう閉じられたらしい。
ha.ckers.org web application security lab - Archive サ Cross Site Scripting Vulnerability in Google
ちょっと探したら、GoogleでURLリダイレクションの攻撃[ポイント]もみつけた…実際にフィッシング攻撃者に1ヶ月近くも使われている。
GoogleがCSRFに対して保護されていない事は間違いない。
XML RPC (Ajax)コールをPOSTする事によって、/sendtophoneアプリケーションで他人の電話番号を盗む事もできるし、maps.google.comのミラー先を使って住所を盗むこともできる。
今の人類の祖先をそれぞれ遡ると、2000年前から5000年前のどこかの1人に行き当たるらしい。
さらに遡ると、5000年前から7000年前のどこかの時点で、全世界の全員が現在の全人類と血のつながりがある、という状況になるらしい。
Roots of human family tree are shallow - Yahoo! News
理屈も書いてあるけど、よく分からず。基本的には、2代遡ると祖先は4人、4代遡ると祖先が16人、といった計算になんらか補正を加えてって話らしい。
ホンマかいな。
そのころには世界中の国に分かれていたわけだから、そういう世界一くくりのランダムな計算では合わないと思うんだけど。
ホンマだとすると、例えばエジプト王朝くらいの時期には、殺人鬼ブッシュの祖先にイスラム系がいたりもするってことになる。
そう考えると戦争してるのなんか莫迦らしい。そうでなくても莫迦らしいけど。
スリ・ランカの会社WSO2のアプリケーション・サーバTungsten。
元IBMの幹部が作った会社で、Intelから出資を受けている由。
オープン・ソースでアプリケーション・サーバを開発し、J2EEよりこっちのほうがいい、との位置づけ。
J2EEは90年代に分散オブジェクトモデルのために開発されたもので、よりネットワークに露出するSOAには向かない、Webサービスを実装する上ではIBMのやり方は良くない、と断言している。
Start-up eyes open source Web services - Network World
他の記事:
Java Middleware and SOA: Wrong Together?
この会社自体Apacheの各種プロジェクトに携わっている人が多い。Tungstenも多くApacheから機能を取り入れている。
基本的にはAxis2で、WS-SecurityをサポートするApache Rampart、Apache Sandesha2でWS-Reliable Messaging、Apache Neethi でWS-Policy、Apache Axiomで"XML infoset model."、などを包含。
次の製品としては「Titatanium」という名でESBを出すらしい。
記事によってはWS02(ゼロニ)と書いてあるけど、会社名はWSO2で、酸素分子のことらしい。
