サイバーエージェントの実践×実験Snowflake 導入の経緯から最新機能のトライアルまで / How Snowflake Is Used In CyberAgent - Go To the Future
Webデバイストラッキング手法の紹介
サイバーエージェントの実践×実験Snowflake 導入の経緯から最新機能のトライアルまで / How Snowflake Is Used In CyberAgent - Go To the Future
「ルーターにサイバー攻撃か ネット接続で不具合相次ぐ」についてもう少し詳しく - orangeitems’s diary
ルーターへのサイバー攻撃 どうやら、インターネット接続用のルーター機器にサイバー攻撃が流行しているようです。昨日夕方のニュースです。 www.asahi.com 画面に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセージが表示され、ネットにつながらなくなる。 この記事だけでは詳細まで理解するのは難しいと思いまとめることにします。 スポンサーリンク 事例 すでにオフィスで同じ状況になり、解決された方がいらっしゃいますのでご紹介します。 tips4life.me こちらの内容を読むだけでも十分概要はつかめると思います。 以下、解説です。 攻撃の内容 1)攻撃者がルーターに侵入しDNSサーバーのアドレスを変更する 世の中にはたくさんのインターネット接続用ルーターがありますよね。そのルーターにネットワークインターフェースという通信用の部品が必ず入っていて、その
“Content-Security-Policy: upgrade-insecure-requests”でHTTPSページの混在コンテンツを解消する方法
[レベル: 上級] 安全なHTTPSで通信するページで、安全ではないHTTPで読み込ませるリソースが存在すると、「混在するコンテンツ」 のエラーが発生します。 Content-Security-Policy: upgrade-insecure-requests という仕組みを使うと、混在するコンテンツが存在している場合でもHTTPSで強制的に読み込ませることが可能です。 つまり、混在するコンテンツエラーを回避することができます。 HTTPSページでHTTP読み込みさせると「混在するコンテンツ」が発生 たとえば、HTTPSのページに次のような画像のタグが書かれていたとします。 <img src="http://example.com/image.jpg"> src属性が、https ではなく http になっています。 この状態だとブラウザでは混在コンテンツ (Mixed content)
CakePHP Controller Testing with the Security Component
Consider this code: Controller Code <?php App::uses('AppController', 'Controller'); class UsersController extends AppController { public $components = array( 'Security', 'Session' ); public function example() { if ($this->request->is('post')) { $this->set('some_var', true); } } } View Code <?php echo $this->Form->create(); echo $this->Form->input('name'); echo $this->Form->end('Submit'); Since I h
MySQL 5.7の罠があなたを狙っている
2015/08/22 YAPC::Asia Tokyo 2015 Lightning Talk 2016/01/13 update about default_password_lifetime will be 0Read less
ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
このブログを読んでいる人なら Google や AWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は本当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
BASHの脆弱性でCGIスクリプトにアレさせてみました
環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日 嶋田大貴 この記事は2014年のものです 朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w
Canvas Fingerprintingというトラッキング技術
var fingerprint = new Fingerprint({canvas: true}).get(); これだけでトラッキングIDを取得できます。 ※試しに利用して何かあっても責任は取れませんので注意してください。 本当に危ないのか? 今のところ追跡をされても問題はないと考えられていますが本当のところどうなのでしょう? 悪用されてしまうとしたらどのようなものになるか考えてみます。 ダミーアカウントの無意味化 アカウントを複数持って怪しいサイトではダミー情報を入力して試すなんてことがあると思います。 Canvas FingerprintingのトラッキングIDと個人情報をどこかから取得できれば個人は特定されてしまいます。 こんな事になればメールを入力していないのに怪しいサイトからスパムメールが飛んでくることになりかねません。 個人情報問い合わせサービスの出現 トラッキングIDをキー
IAM Roleの仕組みを追う – なぜアクセスキーを明記する必要がないのか | DevelopersIO
はじめに こんにちは。望月です。 過去に本ブログで、IAM Roleの仕組みについて都元から解説がありました。 - IAMロール徹底理解 〜 AssumeRoleの正体 IAM Roleの仕組みについて非常にわかりやすく解説されていますので、ぜひ読んでみてください。今日はもう少し利用側の観点に立ったブログを書いてみようと思います。 IAM Roleってどうやって使われてるの IAM Roleを利用する目的は、「ソースコード内にAWSのAPIキーをハードコードすることなく、AWSのAPIを叩きたい」というものが殆どだと思います。ですが、なぜIAM Roleを利用すると、アクセスキーをソースコードで指定することなくAWSのAPIが利用可能になるのでしょうか。 今日はその仕組みについて知りたくなったので、AWS SDK for Rubyのソースコードから読み解いてみました。SDKのバージョンは1
プログラムではアクセスキー/シークレットキーを使わずにRoleを利用する | DevelopersIO
渡辺です。 最近は、システムの開発支援としてAWS環境構築などに関わる事が多いです。 そこで、開発者側視点で押さえておきたいAWSのノウハウや基礎知識を書いて展開してみたいと思います。 今回はEC2で動くプログラムがアクセスキー/シークレットキーを使わずにRoleを利用すべき、という話です。 Roleとは? RoleはIAMの機能のひとつで、アクセスキー/シークレットキーを使わずに各種AWSリソースにアクセスすることができます。 例えば、EC2インスタンスからS3にオブジェクトを書き込んだり、SNSにメッセージを送信したりする場合に利用できます。 アクセスキー/シークレットキーとの違い ひとことで言えば、Roleはアクセスキー/シークレットキーに比べ、キーの管理をする必要がありません。 ただし、EC2インスタンスにしか割り当てることしかできません。 キー管理が不要 アクセスキー/シークレッ
S3: バケットポリシーで特定のアカウントに対して参照可能にする - aws memo
S3の利用方法としては静的Webサーバが便利で良く使われている。この場合、アクセス制御は基本的に全開にすることが多い。 一方、EMRの入出力で使用するバケットは、httpアクセスすることは少なく、特定のアカウントからのS3 APIでのアクセスのみ、というケースも多い。 例えば、以下の様にアカウントを跨いで、S3経由で非公開データ授受を行う場合などが考えられる。 S3のアクセス制御には、IAM、バケットポリシー、ACLがあるが、まずはバケットポリシーで設定してみる。 設定内容としては ・アカウント1111-2222-3333のS3バケット s3://understeer を、アカウント1234-5678-9012が閲覧出来るようにする ・閲覧方法は、 GetObject (各ファイルの取得・ダウンロード)および ListBucket (オブジェクト一覧表示) とする とはいえ、jsonフ
S3アップロード専用のAWSアクセスキーを作成する - yustam.jp
先日S3にブラウザから直接アップロードする機能を作成しましたがAWSアクセスキーが クライアントに見えてしまうのはセキュリティ的に望ましくないのでS3アップロード専用の アカウントを作成します。ここではIAMを使用する IAMポリシーを作成する AWS Policy Generator こちらのジェネレータでS3のアップロードのみ可能なポリシーを作成する Select Type of Policy IAM Policy Effect Allow AWS Service Amazon S3 Actions PutObject ARN arn:aws:s3:::/ ARNではS3上のパスを指定する必要がある 特定のバケット配下にアップロードを許可する場合は以下のように指定する arn:aws:s3:::【バケット名】/* ここではS3アップロードのみを許可するため以下ポリシーとなる { "St
この先生きのこるには
ちょっとずつ複雑なことをやっていっているのですが、正直まだ自分で作っていくイメージがついていません。 加速と減速=イージングタイムラインパネルのフレーム数がでてるとこの下のスライダーでワークエリアの幅を操作できるグラフエディターというのが存在する。値グラフと速度グラフ。グラフを編集するときに触るのはハンドルだけイージングの速度が早くてコマが見える時はモーションブラーをかける(13:40)モーションブラーは色々ごまかせてしまうので最後につけたほうがいい。処理が重いから最初のほうでつけるとプレビューのときにしんどいとかもある(ただプレビューのときだけオフにするとかもできる)
iCloudネットワーク経由で自宅のMacにリモートSSHアクセスする設定方法 | ライフハッカー・ジャパン
もしもあなたがiCloudに対応している2台のMac(LionまたはMountain Lion)をお持ちであれば、ほんの数行のコマンドラインをターミナルに入力することにより、どこからでもiCloudのネットワーク経由でホームPCへのリモートSecure Shell(SSH)アクセスが可能です! 作業の前にあらかじめいくつかの設定をしておく必要があります。まず、「Back to My Mac」がiCloud上で有効になっていることを確認します(これは「システム環境設定」>「iCloud」>「Back to My Mac」から確認できます)。 次に、ホームPCを共有可能に設定します(「システム環境設定」>「共有」から、少なくとも「ファイル共有」と「リモートログイン」の2つを有効にします)。全ての設定が完了すれば、iCloudのネットワークを使って、ホームPCへインターネット回線経由でリモートロ
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について - 最速転職研究会
※この記事の完成度は85%ぐらいなので後で追記します。 http://webpolicy.org/2012/02/17/safari-trackers/ http://online.wsj.com/article/SB10001424052970204880404577225380456599176.html http://blogs.wsj.com/digits/2012/02/16/how-google-tracked-safari-users/ 合わせて読みたい。 http://trac.webkit.org/changeset/92142 https://bugs.webkit.org/show_bug.cgi?id=35824 一番上のJonathan Mayer氏の記事については純粋に技術的なレポートなので、特におかしなことは書かれていない。元はといえばSafariのCooki
opacityとz-index
opacityプロパティーで1より下が指定された要素はその重なり順が変化するという仕様があるようだ。擬似要素を複数組み合わせて紙をずらして重ねたようにロゴをちょっと改悪した時に初めて知った。いつものChromeのバグかと思った……。 仕様ではpositionプロパティーがstatic以外の要素でopacityプロパティーを1より下にするとz-indexプロパティーが0であるとみなされるようになっている。そのためその要素でz-indexプロパティーを-1にして背面に移動するようにしたり、100等で意識的に手前に持ってきたりするようにしている場合、その重なり順が壊れてしまう。 と、こう書くと結構単純な感じなんだけど、実際には0とみなされた上で新たな重なり順が作られるので、いくつかの要素をまとめて半透明にして重ねまくってたりすると、どういう重なり順になるかとてもイメージしにくい。ので余程の理由が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さくらのVPSに来る悪い人を観察して通報してインターネットを少し良くする
jQuery trigger file input