Visual Studioに任意のコード実行が可能な脆弱性 研究者がPoCを公開
セキュリティ研究者は2024年10月4日(現地時間、以下同)、「Microsoft Visual Studio」(以下、Visual Studio)の脆弱(ぜいじゃく)性(CVE-2024-30052)の詳細情報と、PoC(概念実証)コードを公開した。セキュリティ研究者はこの脆弱性を悪用することで細工したダンプファイルを使って任意のコードが実行できることを指摘している。 Visual Studioに任意のコード実行が可能な脆弱性 研究者がPoCを公開 ダンプファイルはクラッシュなどの問題を調査するために重要なデータとして使われる。ユーザーから送信されてくるダンプファイルは解析システムに入力されたり、開発者によって分析が実施されて問題を修正したりするために使われる。 セキュリティ研究者は今回、PDBファイルが埋め込まれた実行可能ファイルを含む完全なヒープメモリを持つダンプファイルをデバッグす
パスワードを使わない認証技術「FIDO」が進化 デバイスやOSを越えて利用可能に
Googleの各種サービスやYahoo! Japan、LINE、オンラインバンキング、オンラインショッピングなど、Webサービスの利用で頻繁に使うことになるパスワード。ログインしようとしている人が本人かどうかを認証するための仕組みとして使われているが、フィッシング詐欺やパスワードリスト攻撃など、犯罪者による攻撃が後を絶たず、個人情報や金銭が詐取される被害が頻発している。 そうした問題に対抗する技術として、パスワードを使わない認証技術「FIDO」を推進するFIDOアライアンスが、普及に向けた取り組みを加速している。FIDOアライアンスが主催するイベントに合わせて来日したエグゼクティブディレクター兼最高マーケティング責任者であるアンドリュー・シキア氏と、FIDOを推進するNTTドコモのチーフセキュリティアーキテクトである森山光一氏が、FIDOと新しいパスキーに関して説明。FIDOでは、「パスワ
Chromeで増え過ぎたパスワードとブックマークを整理、乗り換え時の移行も楽々
Webブラウザーを利用する際の重要なデータといえば、やはりパスワードとブックマークだ。Webブラウザーを長く使い続けると、どちらも量が増えていく。中には重複したものや不要になったものもあるだろう。またWebブラウザーを乗り換える際にも、パスワードやブックマークはなるべく手間を掛けずに移行したい。パスワードとブックマークの整理術について、見ていこう。 パスワードを整理する まずは、パスワードの整理からだ。Chromeに保存されているパスワードを確認するには、設定画面の「自動入力」→「パスワードマネージャ」を選び、パスワードマネージャを表示する(図1)。この画面では、保存されているパスワードが一覧表示され、項目ごとに、サイト、ユーザー名、パスワードが並ぶ(図2)。セキュリティを高めるため、パスワード部分は非表示になっている。
「Googleでログイン」「Facebookでログイン」などのOAuth認証を模倣してパスワードを盗み出す手口が考案される
ウェブサービスの中には、サインインの際にGoogleやFacebookといった他サービスのアカウントを用いる「OAuth認証」が可能なものも存在しています。このOAuth認証ページを模倣することでパスワードやIDを盗み出す手口が考案されました。 Browser In The Browser (BITB) Attack | mr.d0x https://mrd0x.com/browser-in-the-browser-phishing-attack/ Behold, a password phishing site that can trick even savvy users | Ars Technica https://arstechnica.com/information-technology/2022/03/behold-a-password-phishing-site-that-c
LINE、オープンソースソフト「LINE FIDO2 Server」公開 パスワード不要でログイン可能
この記事は新野淳一氏のブログ「Publickey」に掲載された「LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現」(2021年8月16日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuhn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 FIDOアライアンス(ファイドアライアンス)が策定している技術「FIDO2」(ファイドツー
Keycloak〜シングルサインオンを実現する注目のOSS〜 | OSSのデージーネット
最近、企業では、多くのクラウドサービスを利用しています。サービスプロバイダが提供するクラウドサービスは、それぞれ独自のユーザ名とパスワードによる認証があります。そのため、ユーザは多くのパスワードを使い分けなければなりません。このような状況の中、シングルサインオンの仕組みやソフトウェアが注目されています。サービスの中には、シングルサインオンの仕組みを利用して、IdPと呼ばれるIDプロバイダと連携できるものも出てきました。このIdPに利用できるソフトウェアとして注目されているのが、Keycloakです。ここでは、Keycloakの機能や特徴について解説します。 + 目次 Keycloakとは シングルサインオンと認証の仕組み Keycloakの特徴 多くのアプリケーションでSSOを実現 ソーシャル連携 アカウント管理システムとの連携 パスワードレス認証 Keycloakの認可方法 Keyclo
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
史上最大規模!8億近いメールアドレスが流出、あなたのアドレスは大丈夫? - iPhone Mania
8億近くのメールアドレスと2,100万件以上のパスワードをハッカーが流出させたと、セキュリティの専門家が発表しました。史上最大規模の個人情報流出事件とみられます。 【追記 2019/1/19 0:00】情報を補足し、一部の記述を修正しました。 過去最大規模の流出 セキュリティの専門家であるトロイ・ハント氏は、ハッカーたちのオンラインコミュニティで、数千ものWebサービスなどから盗み出された、約27億組のメールアドレスとパスワードが公開されているのを発見しました。 情報を掲載したハッカーは、自分たちの業績を誇るかのように「Collection #1(コレクション・ナンバーワン)」の名前をつけていました。 ハント氏が、データの重複や無効データを排除したところ、流出しているメールアドレスは7.7億件、パスワードは2,122万件にのぼることがわかりました。 ハント氏によると、個々の情報流出は小規模
7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る(ITmedia エンタープライズ) - Yahoo!ニュース
さまざまなWebサイトやサービスから流出した電子メールアドレスとパスワードの組み合わせ情報が、大量にハッキングフォーラムに掲載されているのが見つかった。アカウント情報の流出を確認できる無料サービス「Have I Been Pwned(HIBP)」を運営するセキュリティ研究者のトロイ・ハント氏が1月17日に明らかにした。 トロイ・ハント氏が運営する、アカウント情報の流出を確認できる無料サービス「Have I Been Pwned」 HIBPは、自分のメールアドレスやパスワードが流出被害に遭っていないかどうかをユーザーが確認できるサービス。ハント氏は、今回発見された流出情報のうち、メールアドレス約7億7300万件と、パスワード約2122万件を同サービスで検索できるようにした。 ハント氏によると、今回の情報はクラウドサービスのMEGAで発見され、人気ハッキングフォーラムに画像付きで情報が掲載され
アマゾンのあまりにひどい仕打ちに泣いた話。
われわれは日々、ネットを使う。そして、さまざまなサービスにログインする。ログインなしの日々はない。 アマゾンにログインし、グーグルにログインする。ツイッターや、フェイスブックや、インスタグラムにログインする。現代において、ネットをすることはログインすることなのである。 もちろん、ログアウトもある。しばらくアクセスしないと、勝手にログアウトしていたりする。そんなとき、普段とはちがうトップページを見て、「ふうん」と思う。 「ログインしてない時は、そんな顔するんだ?」 たとえば、アマゾンにログインしていない状態で、アマゾンのトップページを見る。「ようこそゲストさん」と言われて、「へえ、知らない人にはそんな感じなんだ?」と思う。 別の女になりすまして、恋人に会うようなものだろうか。 ログインしていないときのアマゾンは、わたしに平気でキャンプ用品をすすめてきたりする。 ふだんはわたしの好みを知り尽く
「パスワードは定期的に変更してはいけない」--米政府 (ニューズウィーク日本版) - Yahoo!ニュース
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… Hiromitsu Takagi @HiromitsuTakagi …出てきた。しかしそれはもはや「パ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メアド・パスワードの流出を警告する“Firefox Monitor”がメジャーバージョンアップ/新しい侵害ダッシュボードを追加。複数メールアドレスのチェックにも対応
Windows 10搭載の生体認証「Windows Hello」がFIDO2認定を取得 ~Webブラウザでもパスワード不要でログイン可能に
Chromeに保存されたパスワード「****」を確認する2つの方法 - あなたのスイッチを押すブログ
Engadget | Technology News & Reviews
誤ったパスワードの入力で他人のIDをロックさせチケットをゲットする技にファン衝撃【やじうまWatch】
新セキュリティ規格「WPA3」は、わたしたちの通信をいかに守ってくれるのか?
TechCrunch | Startup and Technology News
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ