2006/04/28(金)金曜日ー。(fls, ils, mactime, ...)
[セキュリティ] * 職場外のパソコンで仕事をする際のセキュリティガイドライン (総務省)
経由。 『職場外のパソコンで仕事をする際のセキュリティ対策18か条』ということで、「ルール」「人」「技術」それぞれへの対策が挙げられています。関連: * 職場外のパソコンで仕事をする際のガイドライン 概要
、* 本編
**[pdf]**[セキュリティ] * Winnyで漏らしてしまいました - SAFETY JAPAN (日経BP)
経由。 確かに前半は、普通に Winny を紹介してるように思えますね。(^-^;[セキュリティ] * Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information (Secunia)
本来、他サイトへのリクエストは制限されているはずの XMLHttpRequest() ですが、"mhtml:"+転送処理で目くらましにあって、この制限を回避できるという脆弱性です。 これにより、CSSXSS と同様(CSSっぽくないと読み込めない欠点が無い分、こちらの方がより範囲が広いかも。)に、他サイトのコンテンツの内容を JavaScript で読み出すことができてしまいます。 * Seunia によるデモ
を見ると、XMLHttpRequest() で自サイトにリクエスト。/ie_redir_test_1/?... ⇒ Location: mhtml:/ie_redir_test_2 ⇒ Location: http://news.google.com/本来 secunia.com 上の JavaScript からは取得できないはずの、news.google.com のコンテンツの中身が取得されてしまいます。CSRF防止用のトークンを取り出すことも出来るので、また、“はまちちゃん”可能ですね。(-_-;
textile情報通信技術の進歩により、…企業は様々な情報資産を電子データとして保有し、従業員はそれを職場外に持ち出して仕事をする機会が増えています。…それに伴って、情報の改ざん・紛失など様々な情報セキュリティ上の被害も拡大しています。…これらの情報セキュリティリスクに対処するために、…「職場外のパソコンで仕事をする際のセキュリティガイドライン」を策定しましたので、ここに公表します。
- ずきんさん
経由。 『職場外のパソコンで仕事をする際のセキュリティ対策18か条』ということで、「ルール」「人」「技術」それぞれへの対策が挙げられています。関連: * 職場外のパソコンで仕事をする際のガイドライン 概要
、* 本編
**[pdf]**[セキュリティ] * Winnyで漏らしてしまいました - SAFETY JAPAN (日経BP)
- 葉っぱさん
経由。 確かに前半は、普通に Winny を紹介してるように思えますね。(^-^;[セキュリティ] * Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information (Secunia)
本来、他サイトへのリクエストは制限されているはずの XMLHttpRequest() ですが、"mhtml:"+転送処理で目くらましにあって、この制限を回避できるという脆弱性です。 これにより、CSSXSS と同様(CSSっぽくないと読み込めない欠点が無い分、こちらの方がより範囲が広いかも。)に、他サイトのコンテンツの内容を JavaScript で読み出すことができてしまいます。 * Seunia によるデモ
を見ると、XMLHttpRequest() で自サイトにリクエスト。/ie_redir_test_1/?... ⇒ Location: mhtml:/ie_redir_test_2 ⇒ Location: http://news.google.com/本来 secunia.com 上の JavaScript からは取得できないはずの、news.google.com のコンテンツの中身が取得されてしまいます。CSRF防止用のトークンを取り出すことも出来るので、また、“はまちちゃん”可能ですね。(-_-;