【北京=二階堂祥生】御手洗冨士夫・日本経団連会長ら日中経済協会の訪中代表団は8日、中国の通商政策を統括する商務省の幹部と北京市内で会談した。 中国政府が来年5月から導入する予定のIT(情報技術)製品の中核情報をメーカーに強制的に開示させる制度について、日本側が撤回を求めたが、中国側は予定通り実施する考えを示した。 新制度は、IT製品を制御するソフトウエアの設計図などの開示を求める内容で、日本の電機メーカーなどが反発している。 会談で、ソニーの中鉢良治副会長が「対象製品が不明確であるなど懸念しており、再考をお願いしたい」と要請したが、中国側は「制度の実施範囲は政府調達に限定し、第三者への情報漏えいはない」と強調した。 日本側には、中国が主張する政府調達の範囲があいまいで、国有企業向けの製品など広い範囲に適用されるのではとの懸念が強い。
連立協議の署名、福島みずほ氏の個性的な字がネットで話題に 1 名前:☆ばぐた☆ ◆JSGFLSFOXQ @☆ばぐ太☆φ ★ :2009/09/09(水) 17:57:49 ID:???0 民・社・国、連立政権樹立で合意=地位協定「改定提起」を明記−福島、亀井氏入閣へ 民主、社民、国民新3党は9日午後、国会内で幹事長らが協議し、連立政権樹立で合意した。 その後、3党党首会談を開き、正式に決定する。民主、社民両党の主張に開きがあった 在日米軍の基地問題については、民主党の衆院選マニフェスト(政権公約)に沿う内容で 折り合い、日米地位協定の「改定の提起」を合意文書に盛り込んだ。これに伴い、社民党から 福島瑞穂党首、国民新党から亀井静香代表が連立政権に入閣する見通しだ。 http://headlines.yahoo.co.jp/hl?a=20090909-00000070-jij-pol スレタイ
今回は、「先行バイトの埋め込み」という攻撃方法について紹介します。 ご存じのとおり、ほとんどの符号化方式(文字エンコーディング)においては、ひらがなや漢字などASCII以外のほとんどの文字は、1文字が複数バイトにて構成されています。たとえば、ひらがなの「あ」は、Shift_JISにおいては0x82 0xA0という2バイト、UTF-8においては0xE3 0x81 0x82という3バイトで表現されます。 攻撃者がマルチバイト文字の先行バイト部分だけを与えることにより、本来存在している後続の文字を無効にしてしまうのが、今回紹介する「先行バイトの埋め込み」という攻撃方法です。 先行バイト埋め込みの具体例 では、具体的な例を見ていきましょう。 たとえば、Shift_JISで書かれたHTMLとして、次のようなものがあったとします。 name: <input type=text value="" />
今回は、「不正なバイト列の埋め込み」という攻撃方法について紹介します。 文字列を入力とするソフトウェアにはさまざまなものがありますが、それらの処理系によっては、入力として与えた文字列中に、その文字コード上は不正となるようなバイト列を埋め込んでいたときに、それらのバイト列が無視されたり、想定外の文字に変換されてしまうことがあります。 たとえば、とあるソフトウェアにて (1) 処理A = 文字列中に特定の文字(あるいは文字列)が含まれていないか検査 (2) 処理B = 処理Aから受け取ったデータを処理。その際に不正なバイト列が無視あるいは別の文字に変換される という流れになっていた場合、後続の処理にて本来はフィルタリングされるべき文字列が含まれてしまうことになります。 このような流れを引き起こす具体的な例をいくつか紹介します。 Mozilla Firefoxにおける0x80の無視 Mozil
今回は、US-ASCIIによるクロスサイトスクリプティング(XSS)という話題について紹介します。 前回までで説明したUTF-7によるXSSと同様に、攻撃者はUS-ASCIIという文字コードを巧みに利用することで、IEを対象にXSSを発生させることができます。US-ASCIIによるXSSは、UTF-7によるXSSと類似点も多いため、前回までの説明も併せて読んでおくとよいでしょう。 US-ASCIIによるXSSについても先に対策を書いてしまうと、UTF-7のときと同様にHTTPレスポンスヘッダにて Content-Type: text/html; charset=UTF-8 Content-Type: text/html; charset=Shift_JIS Content-Type: text/html; charset=EUC-JP のいずれかを出力するという原則を守ることで、完全に攻撃
今回は、文字コードに関連するセキュリティの話題では古参ともいえるUTF-8の冗長なエンコードというテーマについて紹介します。 UTF-8とは UTF-8は、各文字を1~4バイトの可変長で表現するUnicodeの符号化方式のひとつです。 U+0000からU+007Fの範囲の文字を0x00から0x7Fの1バイトで表現しているため、US-ASCIIと互換性がある、バイト列の途中からでも文字の先頭バイトを簡単に検出できる、多バイト文字の途中に0x00や0x5C(\)、0x2F(/)などが現れない、などの特徴があります。 UTF-8での文字のビットパターンは表1のようになります。 表1 UTF-8でのビットパターン
■発注者のためのセキュリティ こちらの日記はずいぶん後沙汰しておりますが、標記のように、PHPカンファレンス2009 ビジネスデイにて発表する機会をいただきました。関係者のみなさまありがとうございました。 主催者からのリクエストが、「発注側として気をつけるべきセキュリティ」ということでしたので、今さらXSSやSQLインジェクションの話をしてもしょうがないと思い、発注者視点での話をこの機会にまとめてみようと思いました。そのため、タイトルは「45分で分かる、安全なWebアプリケーション開発のための、発注・要件・検収」といたしました。 発表の中でも述べましたが、発注者がセキュリティに関与できる場面は、発注と検収の場面しかなく、検収は発注仕様に沿っているかどうかを確認するものですので、発注と要件(発注仕様)が極めて重要ということになります。しかし、従来、このセキュリティ要件をどのように書けばよい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く