hori-uchi.com Akamaiで認証付きコンテンツを配信する方法
IPAに脆弱性として提出されていた、ミクシィにアップロードされた画像がURLを直接たたけばログインしていなくても閲覧できる件が技術的には改修せず、ヘルプにその旨を記載することで決着したという話題について、その理由のひとつに画像の配信は一部、CDN(akamai)を使っているため、そこに認証をかけるのが難しいのではというものを見かけました。 このakamaiなのですが、実は、僕が開発運用している動画共有サイトFlipClipでも、日ごとに増え続けるサーバへの負荷、トラフィックに対応すべく、動画の配信にこれを使えないかと検討してまして、先日akamaiの人にきていただいて話を聞いてみました。 このとき一番聞きたかったのがまさに今回のミクシィの件で話にでてきた「認証のかかったコンテンツをakamaiで配信できるのか?」という点でした。 というのもFlipClipでは動画・サムネールの配信はすべて
データベースに必要なセキュリティ対策を一望できるドキュメント,ラックが無償公開
セキュリティ・ベンダーのラックは10月20日,データベースに必要なセキュリティ対策をまとめたドキュメント「セキュアデータベースマトリックス」を公開した。データベースを安全に保つために一般的に必要とされる技術的または人的な対策を網羅的に示している点が特徴だ。これまでデータベース・セキュリティに関しては,暗号化や監査ログの取得といった特定の技術や方法論についての解説は数多くあったが,必要な対策を網羅的に示した資料は多くなかった。ドキュメントの作成を主導した研究開発本部データベースセキュリティ研究所所長の大野祐一氏は,「対策状況を確認するモノサシとして使ってほしい」と語る。 ドキュメントは,ソフト,ハード,ファシリティ(施設・設備),人といったデータベースの維持に必要な構成要素を縦軸に,構築フェーズと運用フェーズで考慮すべきポイントを横軸に取る。このマトリクスの中で,計192項目もの対策を整理し
JVN のシステムの話 - naoyaのはてなダイアリー
誰(どの組織)が書いたか不明(JVN編集者が書いているようにも読めなくもない)なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。 それ書いたの僕なわけですが。 マニュアルとか、フォームのそばにある説明を見ても「CERT/CCへの情報提供(任意)」だっけかな、そんな一文が書いてるだけで何を書いたらいいか分からないのですよ。そこに書いて欲しい具体的な内容があるなら具体的にどういうことを書くかとか、そういうのがないと分からないですね。 あと、このシステムの位置づけというのがいまいち理解できてなかったり。(もちろん、脆弱性情報を安全な経路で教えていただけるのは大変ありがたいことです。 ) それを修正した後に僕らが JVN のシステムを使って決められたフォーマットであれやこれを入力するのは何かしらの義務なんで
FPN-ゼイヴェル・大浜史太郎社長へのインタビューを読んだ
4.インプリケーションと提言 リサーチを通じて気付いたことは?公開情報から点と点を結ぶイン… インサイダー情報はそのままでは役に立たない!?ビジネスリサーチの依頼の中で、「業界の空気感はどうなっているか?」「この技術が主流になっているというのは信憑性があるか?… 2021.01.27 2021.05.13 185 view 1.ビジネスリサーチの基本・心構え リサーチャーの仕事〜各社の求人情報やジョブディスクプションか… 【 リサーチャー 仕事 】ビジネスリサーチャーの業務内容について、企業によるリサーチャーの求人 / 転職 情報や ジョブディスクリプション などから、どのようなものなのか… 2021.05.13 2021.05.16 733 view 3.ビジネスリサーチの報告書作成 ファクト、ファクト、ファクト〜事実に基づくこと 「What's Your Story?」という提案や提言
ネカフェや学校のパソコンは,ファイルを保存したり設定を変えたりしても,電源を消すと電源を点けた時の状態になるようになっている事が多いですが,あれってど…
ネカフェや学校のパソコンは,ファイルを保存したり設定を変えたりしても,電源を消すと電源を点けた時の状態になるようになっている事が多いですが,あれってどう設定しているのでしょうか?
OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh : DSAS開発者の部屋
DSAS のメンテナンスは,基本的に ssh を使ったリモートメンテナンスで済んでしまいます.夜中や休日に非常事態が起こったとしても,ネットワーク接続さえ確保できればその場で対応できます.ただ,さすがにインターネットから DSAS に直接 ssh できる様にしておくのは一抹の不安があります.ですので,DSAS への ssh 接続は社内のサーバからのみ許すようにしておいて,外からログインする必要があるときは一旦社内のサーバを経由することにしています. このような形にしている場合,DSAS にログインしようとする際は,一旦社内のサーバに ssh 接続する必要があって,小さなことですが一手間かかってしまいます.できればワンステップで接続できる方法が無いかと思って色々検索してみた(※)ところ,このページで ProxyCommand という設定項目を見つけました(見つけたのがボスの個人サイトなのは本
ProcessLibrary.com - The online resource for process information!
Welcome to ProcessLibrary.com, winner of PCMAG’s Top 100 Classic Websites in the Tech: Download and DIY categories. ProcessLibrary is a free resource that provides information about processes and DLLs running or found on Windows PCs. It features an extensive and regularly updated database with over 195,000 entries and counting. To find more information about a computer process, you can use the Sea
【Security Solution速報】「あの事件でも」,警察が捜査に利用する情報漏洩・不正アクセス調査ツール
フォレンジックを手がけるUBICは東京ビッグサイトで開催中の「Security Solution 2006」で,警察でも実際の操作に利用している情報漏洩・不正アクセス調査ツールを展示している。 フォレンジックとは,情報漏洩や不正アクセスなどの事件が発生した際,あるいは発生に備え,アクセスや操作を記録,保全し解析することをいう。 「Solo3 Forensic」はハードディスクを完全に複製するコピー装置(写真1) 。警視庁などにも採用されており,「日本中の話題となったIT企業の家宅捜索でもサーバーなどのハードディスクのコピーに実際に使用された」(UBIC)という。 コピーされたデータは解析ツールにより,レジストリに残された操作履歴や,削除されたファイルも含めて分析される(写真2)。写真の画面では,Webメールで送信した内容が復元されている。 ディスクのコピー装置と解析用コンピュータを組み込ん
Tudu Lists MOONGIFT
Todoを共有 皆で使えるTodoソフトウェアです。カテゴリ毎のTodo共有も可能です。 Todoを共有 良くオフィス等で上司が部下にタスクの進捗状況を確認する事がある。特に問題ないという返事をしたものの、実は忘れていたなんて事はないだろうか。 タスクの共有をする事でそういった問題は回避できそうだ。 今回紹介するオープンソース・ソフトウェアはTudu Lists、Todo管理ソフトウェアだ。 Tudu Listsは各自がログインしてタスクを登録するソフトウェアだ。期日とプライオリティを設定し、各カテゴリ毎にTodoを登録していく。 特徴的なのはRSS配信と共有設定だ。RSS配信しておけば、普段使っているRSSリーダーでも確認できる。また、ユーザIDを指定して共有設定すれば、他人が自分のタスクを追加できるようになる。 上司が部下のタスクを追加するようにすれば、忘れると言う事も少なくなる。Tu
mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について - 葉っぱ日記
先日書いた、mixi の画像の話の詳細。IPAとのやりとりの抜粋です。 mixiのメインコンテンツは mixi.jp ドメインで提供されているけれど、画像は img1.mixi.jp ドメインで提供されているため、正常に Cookie が飛ばないといったあたりがネックになって、なかなか改善に至らないのではないかと思います…が、いろいろやり方はあるだろうにと思います。 2005年5月9日 IPAへWebアプリケーションの脆弱性として届け出。 []2. 脆弱性関連情報[] 1) 脆弱性を確認したウェブサイトのURL [] ソーシャル・ネットワーキングサイト [mixi(ミクシィ)][] []http://mixi.jp/[] 2) 脆弱性の種類 mixiに参加していない人への画像の表示、非公開画像の公開 3) 脆弱性の発見に至った経緯 []ソーシャルネットワーキングサイト mixi.jp では
仮想化のうまい使い方
現在,最もホットなIT関連の話題の1つが「仮想化」だ。ITproでも,「VMware」や「Virtual Server」「Xen」といった仮想化ソフトウエア,「Intel VT」や「AMD-V」といった最新CPUが備える仮想化支援機能などに関する解説記事を連載し,それらをまとめたムック「仮想化大全」を発行した。また,先日開催したセミナー「ITproフォーラム 仮想化の全てがわかる一日」が大盛況だったことからも,仮想化に関する注目度の高さが伺える。 仮想化は,一般に情報システムの管理コストを下げたり,利用効率を向上させたりする利点が大きく取り上げられる。実際,仮想化大全でも,そのような話題を中心に編集した。しかし仮想化の利点は,情報システムの管理コスト削減や利用効率向上だけではない。未知のソフトウエアを低いリスクで試用できる点も見逃せない。 例えば,WindowsユーザーがWindows以外
mixCipher - mixi Diary Cryptographer - Lab MagicVox.net
mixCipher は mixi の日記本文やコメントを暗号化することで,心無いユーザによる情報漏えいを防ぐためのソリューション(?)です。 "みっくすさいふぁー"と読みます。投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が,実は情報漏えいの黒幕であった場合にはどうしようもありません。マイミクは大切にしましょう。 どうやって読むの? mixi 日記を読んでいて -----BEGIN BLOWFISH DATA BLOCK----- DWVKdwrD2vbTQiDeeHN5ZoKGi9YOUZdiMClHGHXj Wub+YxpRqvobqw== -----END BLOWFISH DATA BLOCK----- のような日記本文やコメントを見かけたら,すかさず次の Bookmarklet(ブックマークレット) を実行
【レポート】Black Hat Japan 2006 - 外部からイントラネット内にも攻撃可能、JavaScriptマルウェア (1) イントラネットには外部からアクセスできないという「認識」 | ネット | マイコミジャーナル
5日から都内で開幕したセキュリティカンファレンス「Black Hat Japan 2006 Briefings」の初日、「外部からのイントラネット内のWebサイトハッキング」と題し、WHITEHAT SECURITY創業者兼CTOのJeremiah Grossman氏が講演を行った。米国のBlack Hatでの講演と同じものなので、そちらも参考にしてほしいが、ここでは実際の攻撃手順を紹介したい。 Jeremiah Grossman氏 Grossman氏の講演のポイントは、ファイアウォールで守られているはずのイントラネット内にある機器やサービスのWebインタフェースが攻撃対象になりえる、というもの。 プリンタやファイルサーバ、開発マシン、IP電話、グループウェアなどがその対象となり、設定に使うWebインタフェースはイントラネット内からしかアクセスできないことが前提だ。 しかしGrossm
大西 宏のマーケティング・エッセンス: 【警告】Googleカレンダーで情報流出?
2006年10月03日09:06 【警告】Googleカレンダーで情報流出? カテゴリインターネット kinkiboy Comment(12)Trackback(10) 無防備な人が多いには驚きます。Googleカレンダーで、まるでソーシャルブックマークみたいに公開設定をしている人が何人もいます。実に詳細な仕事のスケジュールが公の場にさらされており、このことを私どもの会社のスタッフが気づき、ぜひこのブログで警告してあげて欲しいというリクエストがありました。 見てみると、その人の所属する会社、どのような仕事をしている人かだけでなく、取引先の会社や仕事内容までわかってしまうものがありました。このことが取引先に知れたら信用問題になるでしょうし、関係者が見れば大変な情報でしょう。わかる人が見れば進行しているプロジェクト内容も推測できます。人がどのように動いているのかはトップシークレットのひとつであ
Mozilla Developer News >> Blog Archive >> 1.5RC1 and 1.5RC2 Schedules
Current Release Firefox release notes. Firefox ESR current release notes. Thunderbird current release notes. SeaMonkey current release notes. Upcoming Releases Upcoming Firefox release dates are listed at whattrainisitnow.com. Thunderbird approximately (i.e. not strictly) follows the ESR schedule listed there. Past Releases The full list of Firefox release notes is available on mozilla.org. The fu
[CRYPTO-GRAM日本語版]「USBDumper」
「USBDumper」は,気の利いた小さなユーティリティ・ソフトウエアだ。USBドライブのデータをパソコンへひっそりとコピーする。自分のパソコンや公的な場に置かれているパソコンにUSBDumperをインストールしておくと,USBドライブを挿した人のファイル――ときどき個人的な情報や機密情報が入っている――をそのパソコンに集めることができる(ディスク・イメージをパソコンに丸ごとダウンロードし,削除済みファイルまで復活できる同種のソフトウエアもある)。 自分の生活の場にあるパソコンのセキュリティを論ずるだけなら,このソフトウエアは大した問題でない。しかし,カンファレンスでプレゼンテーションをする人やファイル共有を行う人,あるいは販売員などのように,誰の管理下にあるのか定かでないパソコンにUSBドライブを接続する機会が多い人にとっては大きな衝撃だ。 <http://www.secuobs.com
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
A. WEBプログラマコース
http://www.typemiss.net/blog/kounoike/20061019-100
h12o.d
NameBright - Coming Soon