きみに読んでほしい3冊:セキュリティブックガイド 第二回 MBSD診断チーム「セキュリティ診断部門新人向け」 | ScanNetSecurity
THE ZERO/ONE | Cyber Security Platform
こんにちは!ゼロワンオンカジチャンネルようこそ! 当サイト「ゼロワンオンカジチャンネル」では、オンラインカジノに興味を持つ方に向けて、様々な情報を発信しています。例えば、カジノの種類や遊び方、ルールや戦略、お得なボーナス情報やキャンペーン情報など、初心者から上級者まで幅広く楽しめる情報を提供しています。 今後も、より充実したコンテンツを発信していく予定です。例えば、各カジノの詳細なレビューや口コミ情報、さらにはオンラインカジノの楽しみ方を発信する動画コンテンツなど、様々な情報を用意していきます。また、カジノ以外にも、日本のエンターテインメントや観光情報なども取り上げていく予定です。より多くの方にカジノの楽しさを伝えるために、努力していきます! もっと読む オンラインカジノの魅力とは オンラインカジノをプレイしたことがない方・これからプレイしようか迷っている方へ、僕がおすすめするオンラインカ
パッケージの脆弱性管理サービスVeetaをリリースしました | ten-snapon.com
以前より個人で開発していたパッケージ脆弱性管理サービスVeetaをリリースしました。 現状はAWSで個人資金にて運用しているため、1オーガニゼーション5台までの制限がありますが、無料で利用できます Veetaのアーキテクチャは下記の通りです。 利用方法は、ドキュメントにも記載がありますが、以下の手順ですぐに始めることができます。 オーガニゼーションを登録する 認証トークンを発行する クライアントをインストールし、認証トークンを設定する この作業を行うだけで、クライアントであるVazがサーバ内のパッケージ情報を取得し、Veetaにアップロードし、自動的にスキャンしてくれます。 スキャンした結果はVeetaのコンソール上で確認することができ、脆弱性の詳細を確認したり、無視することができます。また、脆弱性の有無はレポート機能でメールやSlackに指定した時間に通知することが可能です。 解決したか
Node.js で発生した Hash flooding DoS とその内容について - from scratch
Node.js のセキュリティアップデート 7/11 に Node.js のセキュリティアップデートがリリースされました。 Security updates for all active release lines, July 2017 | Node.js これには複数の脆弱性が報告されており、今回はそのうちの1つの Hash flooding DoS という脆弱性が何なのか、それに対して採用された対策が何なのかについてお話します。 Hash flooding DoS (hashdos) Denial Of Service 、つまりサービス拒否攻撃の一種です。 JavaScript のオブジェクトは内部的にハッシュテーブルとして表現されています。 図はこちらから引用 ハッシュ関数は同じkeyなら同じ値を返しますが、別なkeyなら通常は別な値になります。 ハッシュテーブルのinsert, g
Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 | POSTD
最近まで、SSL暗号化通信は「あると好ましい機能」という程度にしか考えられていませんでした。そのため、安全なのはアプリのログインページだけというサービスが数多く存在していました。 しかし、状況は良い方向へと変化しています。現在では暗号化は必須と考えられ、ほとんどの開発者が導入を義務付けています。また、巨大検索エンジンGoogleでは、SSLの導入が検索結果の順位を決定する要因にさえなっています。 しかし、SSLが広範に普及しているにも関わらず、セキュアなWebサービスを構築することは、未だに面倒で、時間がかかり、エラーの原因になりやすいと考えられています。 最近この分野では、 Let’s Encrypt が、SSL証明書をより広く普及させ、Webサイトのセキュリティ維持に係るワークフローを大幅に簡略化しようと取り組んでいます。 強力なWebサーバNginxや、他のハードニング方法と組み合わ
IoTで絶対に知っておくべきテクノロジーのトップ10、ガートナーが発表
本発表にあたって、ガートナーのリサーチ バイス プレジデント兼最上級アナリストのニック・ジョーンズ氏は次のように語っている。 「IoTには非常に広範囲の新しいテクノロジーとスキルが求められますが、多くの企業はまだこれらを使いこなしていません。IoTの領域では、テクノロジーとサービス、さらにはこれらを提供するベンダーが未成熟であるということがテーマとして繰り返し話題に上ります。IoTに関して取り組みを進める、あるいはこれから始める企業にとって、このような未熟性を念頭に置いて開発を進めること、ここから生じるリスクを管理することが、これからの重要なチャレンジとなります。また、IoTに関する多くのテクノロジー領域では、スキル不足も大きな課題になるでしょう」 ガートナーが発表した2017年および2018年に注目すべきIoTテクノロジーのトップ10は次のとおり。 IoTセキュリティ IoTアナリティク
PHPのJSON HashDosに関する注意喚起
4年前にHashDos(Hash Collision Attack)に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施したため、PHPにはHashDosに対する攻撃経路がまだ残っているということは、一部の技術者には知られていました。例えば、以下の様なつぶやきにも見ることができます。 だって、 hashdos 脆弱性の時、 Python とかの言語が、外部入力をハッシュに入れるときに衝突を狙えないように対策したのに、phpだけPOST処理で対策したからね? json を受け取るような口もってるphpアプリのほとんどがhashdos残ってるんじゃない
不正アクセスで年金情報125万件が流出か NHKニュース
日本年金機構は、年金情報を管理しているシステムに外部から不正アクセスがあり、年金加入者の氏名や基礎年金番号など、およそ125万件の情報が流出したとみられることが先月28日に分かったことを明らかにしました。日本年金機構の水島理事長は記者会見し、「125万件の個人情報が流出したことを深くおわび申し上げる。誠に申し訳ございません」と陳謝しました。 このうち、「年金加入者の氏名と基礎年金番号の2つ」が漏れたのがおよそ3万1000件、「氏名と基礎年金番号、生年月日の3つ」が漏れたのがおよそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所の4つ」が漏れたのがおよそ5万2000件で、合わせておよそ125万件となっています。日本年金機構では、今のところ、社会保険を支払うためのシステムへの不正アクセスは確認されていないとしています。 日本年金機構の水島理事長は厚生労働省で記者会見し、「125万
ask.fm | 4/1に入社した新入社員です。入社前に聞いていた仕事内容と異なる仕事をすることになりました(これからやれる見込みもないです) | 上野 ラブホスタッフ @meguro_staff
上野と申します。 皆様にお楽しみ頂けるよう頑張らせて頂きます 恋愛、ラブホ、その他について呟かせて頂きます なお個人アカウントであり、特定の団体について呟くものでは御座いません 聞いた話とかも多いので 御質問誠に有難う御座います。 アスタリフトという化粧品をご存知でしょうか? もしかしたらご存知ないかも知れませんが、アスタリフトとは元々フィルムメーカーだった「富士フイルム」が発売している化粧品ブランドで御座います。 最近はめっきり聞かなくなりましたが、富士フイルムと言えば「お正月を写そう」などのキャッチコピーで知られた日本最大のフイルムメーカーで御座います。 フィルムというと馴染みのない方もいらっしゃるでしょう。勿論私と同年代以上の方からすれば、馴染みもあるかと思いますが、携帯カメラやデジタルカメラが普及する前には、フィルムをわざわざ現像屋さんに持って行って現像して貰わないと写真を見ること
ChatOpsでOSのセキュリティアップデートを自動化出来るようにした - Glide Note
先日@naoya_itoさんが自身のブログ(インフラの継続的デリバリー)でKAIZEN platform Inc.のインフラについて書いていたやつの続編的な内容。 TL;DR Chat(Slack) + Hubot + CircleCI + GitHub を用いてセキュリティアップデートを自動化した GitHubのPull Requestを契機にセキュリティアップデートを実行できるようにした CircleCIが大変便利。インフラ系の作業を自動化するのに非常に合っている気がする 背景 KAIZEN platform Inc.では、 ネットワーク脆弱性スキャン アプリケーション脆弱性スキャン セキュリティアップデートの定期実行 の3つをセキュリティ系タスクとして継続的にやっていこうという話になり、今回は私が担当した、「セキュリティアップデートの定期実行」の話。 RHEL系OSにはyumの自動更
【衝撃事件の核心】生徒に破られた高校サーバー、流出したクラス替え案・980人分の成績…脆すぎる「学校のITセキュリティ」と「生徒のモラル」(1/4ページ) - MSN産経west
教師のパソコンから新年度のクラス編成案や入試成績が抜き取られ、一部がスマホを介して生徒たちに流された。“犯人”の男子生徒は「軽い気持ちでやった」といい、学校での情報管理やモラル指導のあり方が問われる事態に 新年度のクラス表が春休み中に生徒たちの間に出回っていた-。滋賀県内にある県立高校の男子生徒が今年3月、教諭のパソコンのユーザーIDとパスワードを盗み見して学校のサーバーに不正アクセスし、クラス編成案や休み明けのテスト問題、入試や定期試験など生徒980人分の成績を入手。このうち、クラス編成案は無料通信アプリ「LINE(ライン)」で同級生ら35人に送信した結果、情報があっという間に300人以上の手元へ拡散した。学校現場にパソコンが普及する中、個人情報に対する学校の管理体制や生徒たちの「情報モラル」が問われる事態になった。(桑波田仰太)付箋に書かれた教諭のパスワード 卒業式を前日に控えた2月2
数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ
JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して
3分で分かるAngularJSセキュリティ - teppeis blog
先日のng-mtg#4 AngularJS 勉強会でLTしようと思ったけど申し込みが間に合わなかったのでブログに書きます。 先月リリースされたAngularJS 1.2はセキュリティがんばってる的なことを聞いたので、セキュリティ周りの仕組みを調べてみました。 お題は以下です。 CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークなトークンをHTTPリクエストに載せてサーバーでチェックする対応が世の中では主流(最近はカスタムヘッダのチェックによる対策も) AngularJSでは、XSRF-TOKEN Cookieにトークンが載っていると、$httpを使ったHTTPリクエストのヘッダに自動的にX-XSRF-TOKENヘッダーが付く。 XSRF-TOKEN CookieはもちろんNot HttpOnlyで。 Angular界ではCS
知らぬ間「同意」?ドコモ「位置提供」第三者へ : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
ビッグデータ活用が進む中、個人情報を第三者に提供する際の同意のあり方が議論を呼んでいる。 NTTドコモはスマートフォンなどで得た50万人分の「位置情報」を第三者に提供しているが、総務省は先月、「個人情報保護法上必要な同意の表示がわかりにくい」とドコモに指摘。同社は来月にも表示を改めると同時に、既存の利用者に同意を取り直す方針だ。現在、同法の見直しを進める内閣官房の検討会でも議論になりそうだ。 提供されているのは、全地球測位システム(GPS)を使って自分の現在地を地図上で示すドコモの有料アプリ「地図ナビ」の利用者230万人のうち、自動的にGPS情報を発信する設定にしている50万人分。アプリを使っていない間でも、5分ごとの詳細な緯度・経度が収集される。 ドコモは2010年10月のサービス開始時から地図会社ゼンリンデータコム(東京)に無償で提供。ゼンリン側はこれを分析し、調査結果を観光業者や土地
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
第70回PHP勉強会で浮動小数点数の話をしました - hnwの日記
7月22日に開催された第70回PHP勉強会で発表してきました。以下が発表資料です。 浮動小数点数周りのトピックを3点紹介する内容でしたが、思ったより反応が良かったように思います。 ただ、面白おかしく話そうとして、聞いている方々に無駄に恐怖を与えてしまったかもしれません。冷静に読み返していただければ、怖いように見える内容もレアケースの話題が多いことがわかるかと思います。 また、PDOの挙動については誤解を与えてしまったかと思いますので、プレゼン資料の25ページ目を大幅に差し替えてアップロードしました。 この点についてもう少し説明します。PDOでプリペアードクエリを利用する際、プレースホルダに値を埋め込むのにPDOStatement::bindValueメソッドを利用することができます。この際、bindValueメソッドの第3引数で利用でPDO::PARAM_INT定数を指定しても、第2引数の
機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
【PC遠隔操作事件】猫の首輪は付けかえられていた!(江川紹子) - エキスパート - Yahoo!ニュース
犯人が送った写真まずは、この写真を見ていただきたい。 これは、PC遠隔操作事件の「真犯人」が1月5日未明に報道機関などに送ってきた挑発的なメールに示されたクイズを解いて出てきた映像。「真犯人」は、この猫の首輪に、遠隔操作ウイルスのデータを保存した記憶媒体をつけた、としていた。 マスメディアでも、何度も報じられたこの写真だが、注目していただきたいのは、首輪の状態。折り返しの部分から、裏返しの状態で首にまかれていることが分かる。 犯人が使ったのと同じ首輪。小型犬用で暗がりでステッチが光るのが特徴ちなみに、この首輪と同じ物はこちら(右の写真)。裏側に同じ大きさの記憶媒体をつけて撮ってみた。写真の色調で若干現物の方が色が薄く見えるかもしれないが、留め具やステッチの状況などから、同じものと分かっていただけるだろう。犯人の挑発メールの首輪が裏返しに装着されていることは、左側留め具の先の折り返し部分を見
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ハッカソンでkintoneを使おう! – cybozu developer network
日本の警察庁、匿名化ツール「Tor」のブロックをサイト管理者に促す « WIRED.jp