ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、広告エンジニアの中山です。 唐突ですが、みなさまの Web アプリケーションに User-Agent 文字列を参照する処理はありますか? User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.1234.56 Safari/537.36例えば User-Agent 文字列を解析して内容に応じて制御を分岐させたり、機械学習の特徴量として用いたり、さらには一般に悪しきユースケースとされていますが IP アドレスと組み合わせて fingerprinting に活用する … と
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updates 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp
”汗の匂い”と聞いて、快い印象を持つ人はそう多くないでしょう。 しかし、他人の汗の匂いを浴びることで不安症が軽減するという驚きの研究が報告されました。 スウェーデン・カロリンスカ研究所(Karolinska Institute)はこのほど、社会不安症を持つ人が他人の脇汗に含まれる化学物質「ケモシグナル」を浴びながら心理療法を受けると、普通に心理療法を受けた場合よりも不安の軽減効果が増大したと報告。 ケモシグナルは一般に「体臭」を形作るものであり、汗の匂いに不安を和らげる効果があると示唆されています。 研究の詳細は、2023年3月25日〜28日にかけて仏パリで開催されている「欧州精神医学会議(ECP 2023)」で発表されました。 Scientists show that odors from other people’s sweat can help treat social anxiet
Intro 長いこと作業が行われていた JavaScript の MIME タイプについての作業が完了し、 RFC 9239 として公開された。 これにより、推奨される MIME タイプが text/javascript に統一されることになった。 かつて推奨されていた application/javascript ではなくなった経緯などを踏まえ、解説する。 JavaScript MIME Types HTTP で Response する際に指定する Content-Type は、その内容がなんであるかを Client に Indicate し、適切な処理を促すために使用される。 例えば HTML が text/html であったりするように、 JS も内容はテキストなので text/javascript が自然に思える。 しかし、例えば MS が実装していた JS 互換の JScript
Intro Origin は Web におけるセキュリティモデルの一つとして、コンテンツ間の Communication に関する境界を定義し、リソースを保護してきた。 しかし、 Spectre の発覚以降、 Communication に関する制限だけではなく Isolation によるメモリレベルでのアクセス制御が必要となった。 そこで現在作業されているのが、 CORB, CORP, COEP, COOP といった仕様群であり、これは Web におけるセキュリティモデルの更新作業と見ることができる。 概要と現状について解説する。 DEMO & Resources 量が多いため、動作する DEMO と関連リソースは、ページ下部にまとめてある。 CORS による Cross Origin Communication の制限 CORS は、平たく言えば、リソース提供元(サーバ)が、クライアン
"CSS Module" をめぐる混乱
"CSS Module" が指すもの 2つある 従来のコミュニティベースのもの これのこと。そしてその実装。 現状フロントエンドエンジニアが指すものはだいたいこれ。 Web 標準になりつつあるもの Import Assertions で実現しそうな Synthetic Module としての CSS Module 標準になりそうな所まで来ている。 この2つに関して話がごちゃごちゃになるんで整理する。 コミュニティベースの CSS Module https://github.com/css-modules/css-modules コレ自体は概念的なもの。 その実装 として Webpack の CSS Loader などがある。 なので、一般的に「CSS Module か Styled Component か」みたいな議論ででてくるものの場合、 Webpack の CSS Loader を入れ
自分でウェブサイトを運営している人にとっては、ウイルス侵入の原因となりうるCMSの脆弱性など、ウェブサイトのセキュリティは気がかりなものです。「Probely」を使うと、自分のウェブサイトの脆弱性やセキュリティの問題をスキャンし、修正の方針まで指示してくれます。 Web Vulnerability Scanner | Web Application Security Testing — Probely https://probely.com/web-vulnerability-scanner/ Probelyには「Free」「Starter」「Pro」「Premium」の4つのプランがあります。無料版でどこまで使えるか確かめたいので、ひとまず「Free」を選択することに。 氏名やメールアドレスなどを入力して「SUBMIT」をクリック。 入力したメールアドレスにパスワードの設定を求めるメール
女性がぽろぽろと涙を流すと、大抵の男性はどぎまぎしたり慌てたりしてしまうので、「涙は女の武器」と言われることがあります。新しい研究により、女性の涙には男性の攻撃的な行動を抑制する作用があることが確かめられました。 A chemical signal in human female tears lowers aggression in males | PLOS Biology https://journals.plos.org/plosbiology/article?id=10.1371/journal.pbio.3002442 Women's Tears Chemical Diminish Male Aggression - Neuroscience News https://neurosciencenews.com/womens-tears-male-aggression-23591/
User-Agent Client Hints
This specification was published by the Web Platform Incubator Community Group. It is not a W3C Standard nor is it on the W3C Standards Track. Please note that under the W3C Community Contributor License Agreement (CLA) there is a limited opt-out and other conditions apply. Learn more about W3C Community and Business Groups. 1. Introduction This section is non-normative. Today, user agents general
トラステッド・プラットフォーム・モジュール(TPM)とは、セキュリティ機能を提供するためにマザーボードに組み込まれているチップであり、Windowsに搭載されているデータ暗号化機能のBitlockerに利用されています。ところが、ハードウェアを直接ハッキングすることでTPMキーを盗み出し、Bitlockerで保護されているデバイスのデータにアクセスできることを、セキュリティ企業・SCRTのセキュリティチームが報告しました。 TPM sniffing – Sec Team Blog https://blog.scrt.ch/2021/11/15/tpm-sniffing/ TPMはマザーボードに直接組み込まれているかCPUに別途追加されているチップであり、デバイス上のOSやファームウェアが改ざんされていないことを確認し、暗号化キーを安全に保管するといった役割を担っています。Windowsのデ
SameSite cookie recipes Stay organized with collections Save and categorize content based on your preferences. Chrome, Firefox, Edge, and others are changing their default behavior in line with the IETF proposal, Incrementally Better Cookies so that: Cookies without a SameSite attribute are treated as SameSite=Lax, meaning the default behavior is to restrict cookies to first party contexts only. C
Bluetooth通信実装のセキュリティ観点を4ステップ + 1で理解する - Flatt Security Blog
Bluetoothは、米国Bluetooth SIG,Inc.の商標です。 イントロ BLE通信 概観 GATTプロファイル ペアリング 脆弱性 1: Characteristicの権限指定ミスによる平文通信 観点: GATT Characteristicと属性 対策: characteristicへの暗号化必須属性の付与 脆弱性 2. Legacy Pairingにおける暗号化された通信のブルートフォース LE Legacy Pairingにおける鍵生成と鍵交換 TKの生成 random値の生成 STK/LTKの生成 観点: ペアリングフローの盗聴による経路復号 既成ツールを用いたTKの総当りと通信の復号実践 対策: Legacy vs Secure Connection 脆弱性 3. Secure ConnectionのJust Worksにおけるperipheralのspoofing
ALPACA Attack
Paper Q&A How to ALPN/SNI Updates! News A big reevaluation of TLS libraries, TLS application servers, and a new internet scan by Jannik Hölling is now available in the Updates section! ALPACA will be presented at Black Hat USA 2021, USENIX Security Symposium 2021, and Real Word Crypto Symposium 2022! Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an
Windows 10 quietly got a built-in network sniffer, how to use
HomeNewsMicrosoftWindows 10 quietly got a built-in network sniffer, how to use Microsoft has quietly added a built-in network packet sniffer to the Windows 10 October 2018 Update, and it has gone unnoticed since its release. A packet sniffer, or network sniffer, is a program that monitors the network activity flowing over a computer down to an individual packet level. This can be used by network a
Photo illustration by Griffin Lotz. Images using in illustration via Scanrail/Adobe Stock; Youtube In the wee hours of August 1st, 1981, someone flipping through their channels might have come across the image of a rocket blasting into space. The familiar sight of Neil Armstrong exiting his lunar module and walking on the moon would fill the TV screen. And then they’d hear a voiceover, with all th
動物はフェロモンと呼ばれる化学物質を生成して体外に分泌し、他の個体の行動や発育に変化を促します。しかし、人間がフェロモンを分泌していることを示す科学的証拠はこれまで同定されていません。ワイツマン科学研究所の神経科学者であるノアム・ソベル氏らの研究チームが、人間の女性、特に赤ちゃんが放出している「ヘキサデカナール」という無臭の化合物を発見したと報告しています。 Sniffing the human body volatile hexadecanal blocks aggression in men but triggers aggression in women https://www.science.org/doi/10.1126/sciadv.abg1530 Chemical emitted by babies could make men more docile, women more
Introduction⌗Netcat is a tool that reads and writes data across network connections, using TCP or UDP protocol. Netcat has been referred to as the TCP/IP / networking swiss army knife. In this article we’ll look at different applications of netcat and how it can be useful in day to day activities of a pentester, security professional, sysadmin etc… If you would like to test out these commands in a
The Passive Splice Network Tap
Wired networks are everywhere whether you like it not. Almost every building is wired inside out, from businesses to schools to hotels. Unfortunately in most cases, little or no thought given to the physical security of the wiring. Don’t take my word for it, just lift a ceiling tile in any hallway and take a peek for your self. This indirectly affect wireless networks as well, as the Access Points
ディズニーアニメ「塔の上のラプンツェル」で使われる英単語を分析しました~ディズニーアニメで英語学習~ - 塾の先生が英語で子育て
海外映画を使って楽しく英語学習ができれば最高ですね。 これまで5つの映画で使われる英単語を分析してきました。www.jukupapa.com ディズニー映画は英語学習に最適です。 世界中の人に分かりやすいように作られています。 大人にも子どもにも、非ネイティブにとっても分かりやすい英語が使われています。 前回記事のコメントで、じんのんさん(id:otherhalf22)からリクエストを頂きました。 実写版ディズニー「美女と野獣」で使われる英単語を分析しました~アニメ版との違いも考察~ - 塾の先生が英語で子育て! [勉強になりました!] [参考になりました!] いつも詳細な分析でとても分かりやすいです。以前ネットで、「塔の上のラプンツェル」も英語学習に良いとの情報を仕入れ、子供たちに英語で見させておりました。機会がございましたら、分析して頂けると嬉しいです。 2019/12/25 10:4
by www_slon_pics チャットやSNSでの「リンクの共有」がウェブサイトが見られるきっかけになることが近年急激に増加しています。アプリを使っていると、URLを貼り付けた時にウェブサイトの中身が「チラ見」できる画像や説明文が表示されるのを目にしますが、作家であり研究者でもあるコリン・ベンデルさんはこれを「マイクロブラウザ」と呼び、その効果を重要視しているとのこと。ウェブサイトへの流入を急増させる可能性を持つマイクロブラウザとはどういったもので、どう扱うべきなのか、ベンデル氏が解説しています。 Microbrowsers are Everywhere ◆ 24 ways https://24ways.org/2019/microbrowsers-are-everywhere/ 一般的にスマートフォンなどの携帯機器向けに開発されたウェブブラウザをマイクロブラウザと呼びますが、ここでベ
Peppa Pigの「Freddy Fox」で字幕なし英語動画に挑戦! この記事の英語の難易度はレベル1(★☆☆☆☆)です。 難易度の詳細についてはこちらの記事をご覧ください。 www.jukupapa.com 海外アニメを使って楽しく英語学習ができれば最高ですね。 「Peppa Pig」は日本で手軽に見られる英語アニメの中でも、もっとも簡単な番組のひとつです。 そして日本のアンパンマンのように、イギリスで親しまれているキャラクターです。 「Peppa Pig」については、こちらで詳しく解説しています。 www.jukupapa.com この記事では「Peppa Pig」の実際の動画を使って、英語多観の練習ができるように構成されています。 この記事に沿って英語多観をして頂ければ、聞き取れる、理解できる英語表現が多くなっていることを実感できるはずです。 Peppa Pigの「Freddy F
Decrypting your own HTTPS traffic with Wireshark – Trickster Dev
HTTP messages are typically are not sent in plaintext in the post-Snowden world. Instead, TLS protocol is used to provide communications security against tampering and surveillance of communications based on HTTP protocol. TLS itself is fairly complex protocol consisting of several sub-protocols, but let us think of it as encrypted and authenticated layer on top of TCP connection that also does so
この記事は GMOアドマーケティング Advent Calendar 2022 9日目の記事です。 こんにちは、GMOアドマーケティングのR.Yです。 普段はRuby on RailsによるWebサービスの開発やそれらの脆弱性診断などをやっています。 今回はContent-TypeとMIMEスニッフィングを悪用した脆弱性とその対策方法について書いていきたいと思います。 Content-Typeとは Content-TypeはHTTPヘッダーのフィールドになります。Content-Typeには本体(body)として送信するデータが「どんなファイルなのか」がMIMEタイプとして保持されています。そして、WebサーバとWebブラウザ間でファイルのやりとりをする場合はMIMEタイプを参照し、そのファイルをどのように扱うか決めています。 MIMEタイプには text/plain プレーンテキスト t
WebKit Features in Safari 18.0
Safari 18.0 is here. Along with iOS 18, iPadOS 18, macOS Sequoia and visionOS 2, today is the day another 53 web platform features, as well as 25 deprecations and 209 resolved issues land in WebKit, the rendering engine driving Safari. New in Safari 18 Distraction Control Distraction Control lets you hide distracting items as you browse the web, such as sign-in banners, cookie preference popups, n
Post-Spectre Web Development
Post-Spectre Web Development Editor’s Draft, 19 July 2021 This version: https://w3c.github.io/webappsec-post-spectre-webdev/ Latest published version: https://www.w3.org/TR/post-spectre-webdev/ Previous Versions: https://www.w3.org/TR/2021/WD-post-spectre-webdev-20210316/ Feedback: public-webappsec@w3.org with subject line “[post-spectre-webdev] … message topic …” (archives) Issue Tracking: GitHub
Intent to Deprecate and Freeze: The User-Agent string - Google グループ
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message Contact emails yoav...@chromium.org, aaro...@chromium.org Summary We want to freeze and unify (but not remove) the User Agent string in HTTP requests as well as in `navigator.userAgent` Motivation The User-Agent string is an abundant source of passive fingerprinti
今頃ですが、Emotet(エモテット)について調べてみました。 概要 2019年秋頃から、日本国内でのマルウェア「Emotet」の感染が急増 主な感染経路は 悪意あるファイルが添付されたメール 悪意あるリンクが記載されたメール Emotetに感染すると、 端末で利用しているメールのアカウントや送受信したメールの情報が窃取 マルウェア付きスパムメールの送信に再利用されてしまう 自分が以前やり取りしていたメールが引用されていたり、知り合いからのメールであれば、そのメールを信じてしまうでしょう。なのでphishing mailの成功率が大幅アップということに繋がりますね。 Mitre ATT&CK による分析 Mitre ATT&CK (マイター アタック)でEmotetを分析してみましょう。 https://attack.mitre.org/software/S0367/ Emotetは201
Scott Hanselman's 2021 Ultimate Developer and Power Users Tool List for Windows
Can you believe it's been 6 years since my last Tools list? Tools have changed, a lot are online, but honestly, it's just a LOT OF WORK to do the tools list. But here's one for 2020-2021. These are the tools in my Utils folder. I made a d:\dropbox\utils folder and I added it to my PATH. That way it's on all my computers and in my path on all my computers and I can get to any of them instantly. Thi
Levels of Seniority - roadmap.sh
Levels of Seniority Kamran Ahmed · Improve this Guide I have been working on redoing the roadmaps – splitting the skillset based on the seniority levels to make them easier to follow and not scare the new developers away. Since the roadmaps are going to be just about the technical knowledge, I thought it would be a good idea to reiterate and have an article on what I think of different seniority r
Google has announced plans today to phase out the usage of user-agent strings in its web browser Chrome. For readers unfamiliar with the term, user-agent (UA) strings are an important part of the modern web and how browsers function. A UA string is a piece of text that browsers send to websites when they initiate a connection. The UA string contains details about the browser type, rendering engine
In a recent post, I explored some of the tradeoffs engineers must make when evaluating the security properties of a given design. In this post, we explore an interesting tradeoff between Security and Privacy in the analysis of web traffic. Many different security features and products attempt to protect web browsers from malicious sites by evaluating the target site’s URL and blocking access to th
Today, after a longer than expected wait, we're opening WARP and WARP+ (plus) to the general public. If you haven’t heard about it yet, WARP is a mobile app designed for everyone which uses our global network to secure all of your phone’s Internet traffic. We announced WARP on April 1 of this year and expected to roll it out over the next few months at a fairly steady clip and get it released to e
Does Google use engagement signals to rank web pages? Certainly yes. Google even says so in their official How Search Works documents: Exactly how Google uses engagement signals (i.e., clicks and interaction data) is subject to endless SEO debate. The passage above suggests Google uses engagement metrics to train its machine-learning models. Google has also admitted to using click signals for both
Hacking Bluetooth to Brew Coffee from GitHub Actions: Part 1 - Bluetooth Investigation permalink This is going to be a long journey in three parts that covers the odyssey of getting a new coffeemaker, learning BTLE and how it works, reverse-engineering the Bluetooth interface and Android applications for the coffeemaker, writing a Rust-based CLI interface, and finally, hooking it all up to a GitHu
新車の香りや、電子機器を開封した時の工場のような臭いなど、機械の独特な香りがたまらないという人は少なくありません。2022年にValveから発売された携帯ゲーミングPC「Steam Deck」の排気口の臭いをかぐのがやめられないと報告するユーザーが相次いだことを受けて、Valveが健康上の懸念を理由にそのような行為を控えるよう呼びかける事態が発生しました。 Valve To Steam Deck Owners: Stop Huffing Its Vent Fumes https://kotaku.com/valve-steam-deck-fumes-vent-smell-good-safe-exhaust-1851094071 Steam Deckの発売以来、掲示板型ソーシャルニュースサイト・RedditにはSteam Deckの排気の匂いに言及した投稿が多く寄せられており、その中には「S
Browser ChangesUpcoming Browser Behavior Changes: What Developers Need to KnowLearn about upcoming changes to browser cookie behavior that may make your web applications incompatible. Are you operating a web application with sessions (e.g. for saving user preferences, shopping carts)? Do you allow users to sign in using identity providers such as Google and Apple, or use solutions such as Auth0? W
電動歯ブラシをハッキングして現れた暗号を解析した結果とは?
市販の一部の電動歯ブラシには、ブラシ部分が装着されたことを認識して交換時期をお知らせしてくれる機能を持つ製品があります。エンジニアのアーロン・クリストファー氏は電動歯ブラシをハッキングして、パスワードで保護されたこの機能のロック解除を試みました。 Here is the full Philips Sonicare Head NFC Password Calculation ???? How I got there you can find in this Thread. 1/N pic.twitter.com/ooy1v2mBEe— atc1441 (@atc1441) June 9, 2023 Hacking the Philips Sonicare NFC Password - YouTube フィリップス製電動歯ブラシ「ソニッケアー」には、ブラシヘッドとハンドル部分が通信を行い、ヘッ
The last year has been a great one for WebKit. After unveiling Safari 17 beta at WWDC23, we’ve shipped six releases of Safari 17.x with a total of 200 new web technologies. And we’ve been hard at work on multiple architectural improvement projects that strengthen WebKit for the long-term. Now, we are pleased to announce WebKit for Safari 18 beta. It adds another 48 web platform features, as well a
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今は、もう、動かない、その User-Agent 文字列
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
Your API Shouldn't Redirect HTTP to HTTPS
他人の脇汗に含まれる「ケモシグナル」が不安症を軽減すると判明! - ナゾロジー
JavaScript のメディアタイプと RFC 9239 | blog.jxck.io
Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io
無料で自分のウェブサイトの脆弱性をスキャンしてくれる「Probely」レビュー、有料プランはレポート出力なども可能
女性の涙のにおいをかぐと男性の攻撃性が減少することが判明、人が大人になっても泣くのは「役に立つから」と研究者
PCを保護するモジュール「TPM」をハードウェア経由でハッキングしてデータにアクセスできるとの報告
SameSite cookie recipes | Articles | web.dev
The 100 Greatest Music Videos
「赤ちゃんから放出される化学物質」は女性を攻撃的にして男性を従順にすると判明
Netcat - All you need to know
ウェブサイトへの流入を爆増させる可能性を持つ「マイクロブラウザ」について知っておくべきこと
【和訳あり】Peppa Pigの「Freddy Fox」で字幕なし英語動画に挑戦! - 塾の先生が英語で子育て
MIMEスニッフィングを利用した脆弱性とその対策方法
EmotetについてATT&CKを使って調べてみた - Qiita
Google to phase out user-agent strings in Chrome
Security Tradeoffs: Privacy
WARP is here (sorry it took so long)
3 Vital Click-Based Signals for SEO: First, Long, & Last
Hacking Bluetooth to Brew Coffee from GitHub Actions: Part 1 - Bluetooth Investigation
「Steam Deckの排気口の臭いフェチ」がミーム化し大流行、メーカーが「体に悪いからやめて」と注意喚起
Upcoming Browser Behavior Changes: What Developers Need to Know
News from WWDC24: WebKit in Safari 18 beta