2013年5月10日金曜日 パスワードリマインダが駄目な理由 昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する（パスワードリマインダ） 新: パスワード再設定の画面のURLをメール... 続きを読む

• blog.tokumaru.org
• テクノロジー

2013年5月7日火曜日 パスワード攻撃に対抗するWebサイト側セキュリティ強化策 Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト（プレスリリース） goo（プレスリリース）  フレッツ光メンバーズクラブ（プレスリリース）  eBook Ja... 続きを読む

• blog.tokumaru.org
• テクノロジー

平成25年３月15日「不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び」でご報告いたしました当社オンラインショップに対する不正アクセス（以下、「本件不正アクセス」といいます。）により、お客様をはじめとする皆様に多大なるご迷惑および... 続きを読む

• www.jins-jp.com
• テクノロジー

AWSチームはAWSサービスのセキュリティをノンストップで改善し続けています。以下のタイムラインからわかるように、最近のリリースはクラウドリソースのセキュリティをより簡単に高めることができるものが多くなっています。 今回新しく、AWS Security Blogがス... 続きを読む

• aws.typepad.com
• テクノロジー

2013年4月10日水曜日 eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策 eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPア... 続きを読む

• blog.tokumaru.org
• テクノロジー

2013-04-07 複数の会員サイトへの不正ログイン事件が発生 先週、複数の会員サイトで不正ログインが続けて発生しました。 日付 サイト 概要 参照 3/26 Tサイト 299 IDで不正ログインによるポイントの利用 (1) 4/2 goo 約10万アカウントで不正ログイン (2)(3) 4/4... 続きを読む

• negi.hatenablog.com
• テクノロジー

Overview The Ruby on Rails web framework provides a library called ActiveRecord which provides an abstraction for accessing databases. This page lists many query methods and options in ActiveRecord which do not sanitize raw SQL arguments and ... 続きを読む

• rails-sqli.org
• テクノロジー

Secure defaults are critical to building secure systems. If a developer must take explicit action to enforce secure behavior, eventually even an experienced developer will forget to do so. For this reason, security experts say: “Insecure by ... 続きを読む

• blog.codeclimate.com
• テクノロジー

兵庫県の小学校で2013/02/20発表するための資料。 話す際のノートを含め公開しているので、再利用される場合は参考にどうぞ。 子供を取り巻くインターネットとその問題点 Presentation Transcript 子供を取り巻くインターネットとその問題点～親は何をすべきな... 続きを読む

• www.slideshare.net
• テクノロジー

http://security.slashdot.jp/story/13/02/24/0858210/ Firefox 22のCookieに関するポリシー変更(予定)で具体的にどういう悪影響が懸念されるのかについて書きます。 この変更は「サードパーティCookieをデフォルトでブロック」と言われて想像するものと少し違... 続きを読む

• gist.github.com
• テクノロジー

Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア 2013年02月18日22:12 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 2月1日金曜日。Twitterがハッキングされたとアナウンス。情報セキュリティ部門のデ... 続きを読む

• blog.f-secure.jp
• テクノロジー

現在位置： ホーム   >  情報セキュリティ 対策支援 > 自治体セキュリティ支援室からのお知らせ > 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）」を一般公開しました 背景 情報システムは住民向けのサービス基... 続きを読む

• www.lasdec.or.jp
• テクノロジー

さきほど Rack にセキュリティフィックスバージョンが出たんだけど、セキュリティ的に何故に問題があるのかわからなった(Timing Attack をよく解ってなかった) のでメモ。 https://github.com/rack/rack/commit/0cd7e9aa397f8ebb3b8481d67dbac8b4863a7f07 この... 続きを読む

• g:subtech:id:secondlife
• テクノロジー

なぜGoogleはJSONの先頭に while(1); をつけるのか #JavaScript #HTML #Ajax #StackOverflow - Qiita これはクロスサイト・リクエスト・フォージェリ対策。 違うよ！全然違うよ！攻撃者の作成した罠ページにてJSONをツイートする 続きを読む

• d:id:hasegawayosuke
• テクノロジー

2013-02-04 パスワード保存とソルトの話 先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。 この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encry... 続きを読む

• blog.jmuk.org
• テクノロジー

こんにちはこんにちは！！ 先日、CROSS 2013っていう、エンジニア向けのイベントに行ってきました！ そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真... 続きを読む

• d:id:Hamachiya2
• テクノロジー

「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事（Oracle updates Java, security expert says it still has bugs）をTwitterで紹介しましたが、「やはり修正されていない」「二つの脆弱性の内一つしかと... 続きを読む

• did2memo.net
• テクノロジー

Ruby on Rails 3.2.11がリリースされました。 3.2.10が出てから数日ですが、合わせてかなり重大なセキュリティFIXが含まれているので、確実に更新しましょう。 3.2.11での変更点 (1) URLを知っている人だけがアクセスできる隠しページや、パスワードリセット機... 続きを読む

• techracho.bpsinc.jp
• テクノロジー

セキュリティ , ソフトウェア , 最新テック 実際、パスワードはどれくらいの頻度で変えるべきですか？（LF質問箱） 2012.12.17 20:00 ライフハッカー編集部様 私の会社やいくつかのウェブサイトが、パスワードを定期的（たとえば3カ月おき）に変えるように強制... 続きを読む

• www.lifehacker.jp
• テクノロジー

これまでの連載では「OAuth」と「OpenID Connect」について紹介してきましたが、今回は少し趣向を変えて、UDIDについてお話しします。 これまでの連載では、「OAuth」と「OpenID Connect」について紹介してきました。今回は少し趣向を変えて、UDIDについてお話... 続きを読む

• www.atmarkit.co.jp
• テクノロジー